IA et services publics : automatiser tout en respectant la confidentialité des données
1. Une transformation publique déjà en marche
L'intelligence artificielle est désormais au cœur de la modernisation des services publics français.
Ce n'est plus une perspective lointaine : en 2025, 77 % des collectivités de plus de 3 500 habitants ont lancé ou prévoient de lancer un projet d'Intelligence Artificielle (baromètre Data Publica 2025), contre 21 % seulement en 2022. Le nombre de projets locaux est passé de 5 en 2021 à plusieurs centaines en 2024.
La Cour des comptes, dans deux rapports publiés en octobre 2024 et janvier 2025, documente des résultats concrets : cinq systèmes d'IA déployés à la Direction générale des finances publiques ont généré 20,4 millions d'euros d'économies en 2022. L'OCDE, dans son panorama Gouverner par l'intelligence artificielle (septembre 2025), estime que 38 % des tâches des agents publics français présentent un fort potentiel de transformation par l'Intelligence Artificielle.
Pourtant, cette dynamique se heurte à une tension centrale que peu d'administrations ont pleinement résolue : les services publics traitent chaque jour des millions d'informations personnelles parmi les plus sensibles (sociales, fiscales, médicales, judiciaires). Automatiser sans maîtriser, c'est s'exposer à des risques juridiques, financiers et politiques considérables. En 2025, la CNIL a prononcé 487 millions d'euros d'amendes liées à des manquements dans la protection des données.
La question n'est donc pas de choisir entre performance et conformité. C'est de savoir comment les concilier. Cet article vous donne les clés pour déployer l'Intelligence Artificielle dans le service public en garantissant à la fois l'efficacité opérationnelle, la conformité réglementaire et la souveraineté numérique.
⚡La tension centrale à résoudre
🚀 Performance
Automatisation des tâches chronophages
Réduction des délais de traitement
Aide à la décision et détection de fraude
Économies opérationnelles mesurables
vs
🔒 Conformité & souveraineté
Protection des données sensibles (RGPD, RGS)
Risques juridiques et financiers (amendes CNIL)
Dépendance aux fournisseurs extracommunautaires
Responsabilité politique des élus
2. Pourquoi les services publics adoptent l'intelligence artificielle ?
2.1. Des cas d'usage concrets et immédiatement opérationnels
L'IA dans le service public ne se limite pas aux grands projets d'État. Elle répond à des besoins quotidiens très concrets, documentés dans des dizaines de collectivités françaises.
Analyse documentaire et gestion des connaissances
La recherche dans des archives volumineuses, la synthèse automatique de rapports, l'extraction d'informations dans des documents juridiques ou techniques : ces usages gagnent du temps sur des tâches chronophages et améliorent la qualité de l'information disponible pour la prise de décision.
Aide à la décision et détection de fraude
L'Intelligence Artificielle permet de croiser des données de sources multiples pour détecter des anomalies, identifier des situations à risque ou appuyer une décision d'attribution. La Direction générale des finances publiques utilise depuis plusieurs années des dispositifs pour le contrôle fiscal et la lutte contre la fraude documentaire.
Automatisation du traitement des dossiers administratifs
La classification automatique des courriers entrants, la pré-instruction des demandes de permis de construire ou l'analyse de dossiers d'aides permettent de réduire significativement les délais de traitement et les tâches à faible valeur ajoutée. Parmi les projets déjà déployés dans les collectivités, 29 % portent sur la gestion administrative.
Relation usagers : chatbots et assistants virtuels
Des collectivités déploient des agents conversationnels capables de répondre aux questions les plus fréquentes (horaires, démarches, documents à fournir) et d'orienter les citoyens vers le bon service. L'objectif est de désengorger les accueils et les standards téléphoniques, pour que les agents se concentrent sur les situations complexes. 11 % des projets dans le service public concernent la relation aux usagers.
Maintenance prédictive des infrastructures
Voirie, éclairage public, réseaux d'eau, bâtiments publics : en croisant les données des capteurs IoT avec des modèles prédictifs, les collectivités anticipent les pannes, optimisent les tournées de maintenance et réduisent les coûts d'intervention. Une étude de l'INET sur la ville de Lyon (avril 2024) estimait que 25 % des processus métiers d'une entité publique pouvaient être réalisés au moins partiellement par l'IA générative.
📊 Tableau récapitulatif - Cas d'usage IA dans les services publics
Domaine
Cas d'usage
Niveau de risque AI Act
Gestion administrative
Classification de courriers, pré-instruction de dossiers
Limité
Relation usagers
Chatbot d'information, orientation, réponse aux FAQs
Limité
Analyse documentaire
Synthèse de rapports, recherche dans les archives
Minimal
Aide à la décision sociale
Attribution de prestations (RSA, logement)
Haut
Détection de fraude
Croisement de données, signalement d'anomalies
Haut
RH et recrutement
Tri de candidatures, évaluation
Haut
Maintenance prédictive
Capteurs IoT + modèles prédictifs
Minimal
Pilotage territorial
Jumeaux numériques, analyse de données territoriales
Minimal
2.2. Un levier d'efficacité face aux contraintes budgétaires du service public
Dans un contexte de finances publiques contraintes, l'IA est devenue un argument budgétaire à part entière. La Cour des comptes formule clairement : la situation des finances publiques plaide pour que les administrations priorisent les projets d'intelligence artificielle apportant des gains tangibles de productivité (rapport janvier 2025).
Au-delà des économies directes, les bénéfices sont multiples : réduction des délais de traitement, amélioration de la qualité et de la cohérence des décisions, personnalisation accrue des services aux usagers, et libération du temps des agents pour des missions à plus forte valeur humaine. En parallèle, la feuille de route du ministère de la Fonction publique pour 2026, présentée en janvier 2026, place l'industrialisation et le déploiement massif de l'IA au cœur de la transformation de l'État, avec un repositionnement de la DINUM et un accent explicite sur l'Intelligence Artificielle souveraine.
2.3. Les freins au déploiement : ce que disent vraiment les collectivités
Malgré l'élan, les obstacles sont documentés et persistants. Selon le baromètre Data Publica 2025 :
66%des collectivités
Des collectivités n'ayant pas encore lancé de projet citent le manque de compétences internes comme frein principal.
50%des collectivités
De celles ayant déjà expérimenté l'IA identifient l'accès à des données de qualité comme premier obstacle.
↑ En forte hausse — 26 % en 2024
🔒
Les enjeux de sécurité et de conformité freinent significativement les décisions d'achat.
62%des collectivités
Des collectivités de plus de 3 500 habitants se déclarent préoccupées par la souveraineté numérique et la crainte de dépendance vis-à-vis de fournisseurs extracommunautaires.
Ces données révèlent une maturité croissante : les collectivités ne se demandent plus si elles doivent adopter l'Intelligence Artificielle, mais comment le faire dans des conditions acceptables. La réponse passe nécessairement par une meilleure gouvernance des données et une architecture souveraine.
3. Confidentialité et protection des données : un impératif pour le service public
3.1. Des données parmi les plus sensibles qui existent
Le service public traitent des catégories de données dont la sensibilité dépasse de loin ce que manipulent la plupart des entreprises privées : situation familiale, revenus, état de santé, dossiers judiciaires, situations de vulnérabilité sociale, données relatives aux mineurs. Une violation de ces données ne se limite pas à un préjudice financier : elle peut exposer directement des personnes à des discriminations, des escroqueries ou des atteintes à leur vie privée.
La confiance des citoyens envers les services publics est un actif fragile et central. Toute défaillance dans la protection des données fragilise la légitimité même de l'administration qui y est impliquée.
3.2. Une exposition croissante aux risques cyber et réglementaires
Le constat de la CNIL est sans appel. En 2024, l'autorité a enregistré un nombre record de 17 772 plaintes (en hausse de 8 % en un an), et s'est alarmée du doublement des violations de grande ampleur, celles qui concernent plus d'un million de personnes. En 2025, elle a prononcé 83 sanctions pour un total de 487 millions d'euros d'amendes, une montée en puissance spectaculaire par rapport aux années précédentes.
Le secteur social est particulièrement exposé : plusieurs mises en demeure ont spécifiquement visé des organismes d'aide à l'enfance pour des manquements sur la conservation des données, l'absence d'analyse d'impact, et la gestion insuffisante des habilitations d'accès. Ce ne sont pas des abstractions réglementaires, ce sont des risques opérationnels et réputationnels concrets pour tout organisme qui déploie l'IA sans cadre rigoureux.
3.3. Les risques spécifiques liés à l'IA
L'IA introduit des vecteurs de risque qui n'existaient pas avec les systèmes informatiques traditionnels.
01🔓
Fuites de données
Certains LLM peuvent mémoriser des données personnelles intégrées lors de leur entraînement ou de leur utilisation. Une requête mal encadrée peut entraîner la restitution d'informations confidentielles à un utilisateur non autorisé. Le danger est amplifié lorsque l'on utilise des services cloud opérés par des tiers sans garantie de localisation ni d'isolation des données.
02⚖️
Discrimination algorithmique
Un modèle entraîné sur des données historiques reproduit mécaniquement les biais qu'elles contiennent. Dans le service public, cela peut se traduire par un traitement systématiquement défavorable de certaines catégories d'usagers — ce qui constitue une violation du principe constitutionnel d'égalité devant le service public, indépendamment de toute intention discriminatoire.
03🪄
Effet « boîte noire » et droit à l'explication
Tout usager peut contester une décision administrative prise avec le concours d'un algorithme. Le RGPD et le code des relations entre le public et les administrations garantissent ce droit à l'explication. Un système d'IA dont on ne peut restituer la logique de décision est donc juridiquement inopérant pour toute procédure contentieuse, en plus d'être non conforme à l'AI Act pour les systèmes à haut risque.
04🔗
Dépendance technologique
La concentration du marché autour d'un petit nombre d'acteurs mondiaux crée une menace de verrouillage. Sans clause de réversibilité, sans accès aux modèles et sans portabilité des données, un service public peut se retrouver captif d'un fournisseur unique dont il ne contrôle ni les prix, ni les conditions d'utilisation, ni l'évolution technique.
4. Cadre réglementaire : naviguer dans un environnement complexe
Déployer l'Intelligence Artificielle dans le service public, c'est opérer à l'intersection de trois régimes normatifs qui s'appliquent simultanément.
4.1. Le RGPD : socle de protection essentiel
Le RGPD demeure le cadre de référence pour tous les traitements relevant du personnel, incluant ceux mis en œuvre via l'IA. En juillet 2025, la CNIL a publié des orientations spécifiques, suivies d'une série supplémentaire plus tard cette année, affirmant que le RGPD facilitait une innovation juste et équilibrée.
Les obligations détaillées pour toute initiative publique sont les suivantes :
4.2. L'AI Act : vers une gouvernance européenne de l'Intelligence Artificielle
Le Règlement européen sur l'intelligence artificielle (UE 2024/1689) classe les systèmes d'Intelligence Artificielle selon leur niveau de risque et impose des obligations proportionnées.
Classification des systèmes selon leur niveau de risque :
01
Minimisation
Se limiter aux données strictement nécessaires à l'objectif poursuivi — ni plus, ni moins.
02
Limitation de la finalité
Ce qui est collecté pour un usage déterminé ne doit pas servir à d'autres fins sans fondement légal explicite.
03
Durée de conservation définie
Un chatbot de mairie peut retenir ses dialogues six mois ; les outils d'aide à la décision suivent les périodes réglementaires d'archivage.
04
Analyse d'impact (AIPD)
Essentielle pour tout processus susceptible de compromettre significativement les droits des individus — obligatoire pour la plupart des applications IA traitant des données sensibles.
05
Registre des traitements
Chaque procédé doit être scrupuleusement documenté et inscrit sous l'autorité du responsable de traitement.
06
Rôle du DPO
Le délégué à la protection des données doit être impliqué dès le début du projet — et non en fin de parcours pour ratifier une décision déjà prise.
Obligations pour les systèmes à haute menace : évaluation de conformité approfondie, documentation technique complète, surveillance humaine effective et continue, mécanisme de notification des incidents, auditabilité des décisions.
Sanctions : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves.
L'article 4 - à ne pas négliger : il impose dès maintenant une obligation de formation des agents à l'Intelligence Artificielle pour tout déployeur, sans exception de taille ni de secteur. Une commune de 2 000 habitants qui utilise un outil d'Intelligence Artificielle dans son quotidien est concernée au même titre qu'une métropole. Cette obligation est en vigueur depuis le 2 février 2025.
4.3. Doctrine « Cloud au centre » et qualification SecNumCloud
La doctrine interministérielle « Cloud au centre » conditionne le choix des infrastructures pour les données sensibles de l'État et des collectivités. Les données sensibles doivent être hébergées sur des clouds qualifiés SecNumCloud par l'ANSSI — la certification la plus exigeante en France.
SecNumCloud garantit : la localisation des données sur le territoire national, des capitaux d'entités européennes sans subordination à des législations extraterritoriales, un audit direct par l'ANSSI sur plus de 350 critères de sécurité. Son enjeu principal est la protection contre le Cloud Act américain, qui peut contraindre tout opérateur soumis à la juridiction américaine à divulguer des données à des autorités étrangères — y compris lorsque ces données sont physiquement stockées en France. Le surcoût d'un hébergement SecNumCloud est estimé entre 15 et 35 % par rapport à un cloud classique, mais ce calcul doit être mis en regard du coût réel d'une violation de données ou d'un incident de conformité.
📅
Frise chronologique des échéances réglementaires
Date
Statut
Obligation
Mai 2023
Passé
Lancement du plan d'action IA de la CNIL
Été 2024
Passé
Adoption de l'AI Act (Règlement UE 2024/1689)
2 février 2025
Effectif
Interdictions AI Act effectives (pratiques à risque inacceptable) — Art. 4 : obligation de formation des agents en vigueur
Juillet 2025
Effectif
CNIL : premières recommandations RGPD spécifiques à l'Intelligence Artificielle
2 août 2025
Effectif
Obligations pour les fournisseurs de modèles d'Intelligence Artificielle à usage général
2nd semestre 2025
Effectif
CNIL : deuxième série de recommandations (chaîne de responsabilités)
2026
À venir
CNIL : document consolidé sur les règles applicables au dossier patient informatisé
2 août 2026
Attention
Application complète aux systèmes à haut risque (aide sociale, éducation, recrutement)
2027
À venir
Application aux systèmes à haut risque intégrés dans des produits réglementés
5. La souveraineté numérique : un levier stratégique pour les services publics
5.1. Définition et enjeux de la souveraineté numérique
La souveraineté numérique est souvent présentée comme un idéal politique. Dans le contexte de l'Intelligence Artificielle pour les services publics, c'est une série de choix techniques et contractuels très concrets.
Elle se définit autour de trois dimensions :
01Le contrôle des données
Savoir où elles sont stockées, qui y accède, selon quelles conditions et sous quelle juridiction. Une donnée de citoyen hébergée chez un opérateur soumis au droit américain n'est pas une donnée souveraine, même si elle est physiquement en France.
02Le contrôle des infrastructures
Opérer sur des plateformes dont on connaît et maîtrise les composants techniques, sans dépendance à des couches propriétaires opaques que l'on ne peut auditer ni faire évoluer indépendamment.
03L'indépendance technologique
Pouvoir changer de fournisseur, migrer ses données et ses modèles, faire auditer les systèmes par des tiers indépendants — sans que cela ne représente un coût prohibitif ou une rupture de service.
5.2. Ce que la souveraineté change concrètement
01
Hébergement des données en France ou en Europe
Le choix de l'infrastructure n'est pas une formalité administrative. C'est la condition première pour garantir que les données des citoyens restent hors de portée de législations extraterritoriales et que les obligations du RGPD peuvent être tenues dans la durée.
02
Utilisation de modèles open source
Les modèles open source (Mistral, Llama, etc.) déployés sur infrastructure maîtrisée offrent un niveau de contrôle que les solutions SaaS propriétaires ne permettent pas : accès au code, possibilité d'audit, absence de transmission de données à un tiers pour l'entraînement, réversibilité totale.
03
Auditabilité et traçabilité
Un mécanisme d'IA souverain doit pouvoir restituer, pour chaque décision ou recommandation, les données utilisées, le modèle sollicité et la logique appliquée. C'est à la fois une exigence légale pour les systèmes à haute menace et une garantie de contrôle démocratique sur les décisions publiques.
04
Réversibilité et interopérabilité
Tout contrat de prestation devrait inclure des clauses de réversibilité garantissant la portabilité des données dans un format ouvert et la possibilité de migrer vers un autre fournisseur sans perte de continuité opérationnelle.
5.3. Ce que les collectivités attendent réellement
SourceBaromètre Data Publica 2025 — collectivités publiques & souveraineté numérique
95%
des collectivités préoccupées par la souveraineté numérique citent la conformité RGPD comme critère prioritaire.
82%
exigent la localisation des données en France ou en Europe comme condition non négociable.
73%
↑ contre 53 % en 2022
des directions générales sont désormais impliquées dans la gestion des données — signal d'une gouvernance qui monte dans la hiérarchie.
51%
clauses sur les conditions d'utilisation
74%
statut public des données productes
des collectivités intègrent des clauses contractuelles pour encadrer l'utilisation et asseoir le statut public de leurs données de service public.
Ces attentes ne sont plus optionnelles. Elles s'inscrivent dans une exigence de reddition de comptes vis-à-vis des citoyens et des élus, et dans le respect d'un cadre réglementaire qui se resserre chaque année.
7. Service public : Automatiser en toute confiance avec IA souveraine
L'intelligence artificielle est un levier incontournable de modernisation des services publics. Les preuves sont là : gains de productivité documentés, délais réduits, qualité de service améliorée, ressources budgétaires optimisées. Ignorer ces opportunités, c'est choisir de rester en retrait d'une transformation qui redessine déjà le fonctionnement des administrations les plus avancées.
Mais l'automatisation ne vaut que si elle est maîtrisée. La confidentialité des données n'est pas une contrainte réglementaire accessoire : c'est le fondement de la confiance entre les citoyens et leurs institutions. Un service public qui déploie l'IA sans garantir la protection des données qu'il traite prend un risque juridique mesurable, un risque réputationnel difficilement réversible, et un risque démocratique que peu d'élus mesurent pleinement.
Sources vérifiables :
Baromètre Data Publica 2025 (nov. 2025)
Cour des comptes, IA au ministère de l'Économie (oct. 2024)
Cour des comptes, Productivité numérique de l'État (janv. 2025)
OCDE, Gouverner par l'IA (sept. 2025) — CNIL, rapport annuel 2024 (avr. 2025)
CNIL, bilan des sanctions 2025 (fév. 2026)
CNIL, recommandations RGPD & IA (juil. 2025)
AI Act, Règlement UE 2024/1689
ANSSI, qualification SecNumCloud
Étude INET / Ville de Lyon (avr. 2024)
Ministère de la Fonction publique, feuille de route numérique 2026 (janv. 2026)
France 2030 / Banque des Territoires, AAP Transition numérique (2025)
DINUM, programme Transformation numérique des territoires
