Les assistants IA se multiplient dans les services publics locaux, mais leur déploiement doit respecter des règles strictes. Le RGPD et la nouvelle réglementation européenne sur l'IA imposent des obligations précises aux collectivités. Un assistant IA RGPD non conforme expose les administrations à des sanctions financières importantes et des risques juridiques réels.

Les sanctions RGPD récentes qui changent la donne

Les autorités européennes intensifient leurs contrôles sur l'intelligence artificielle. En décembre 2024, l'autorité italienne de protection des données a infligé une amende de 15 millions d'euros à OpenAI pour plusieurs violations du RGPD. Les reproches portaient sur le traitement de données sans base légale, le défaut de transparence, les problèmes d'hallucination et l'absence de vérification d'âge.

Clearview AI, spécialisée dans la reconnaissance faciale, cumule désormais 55,7 millions d'euros d'amendes en Europe. Cette société a été sanctionnée à plusieurs reprises : 20 millions d'euros en France en 2022, puis 5,2 millions d'euros supplémentaires en 2023, et enfin 30,5 millions d'euros aux Pays-Bas en 2024. Ces sanctions visaient la collecte illégale de données biométriques.

En France, six communes ont été sanctionnées en 2024 pour usage illégal de caméras augmentées avec analyse comportementale en temps réel. La CNIL a également mis en demeure le ministère de l'Intérieur pour défaut d'analyse d'impact sur ses logiciels d'intelligence artificielle. Le motif principal reste "l'usage par les communes non autorisé en l'état du droit".

Ces exemples montrent que les collectivités qui déploient un assistant IA RGPD sans précaution s'exposent à des sanctions. Les autorités de contrôle examinent particulièrement les systèmes qui traitent des données personnelles de citoyens.

EU AI Act : nouvelles obligations pour les collectivités

L'AI Act européen est entré en vigueur en février 2025 et complète le RGPD. Cette réglementation impose de nouvelles obligations aux administrations qui utilisent l'intelligence artificielle. La formation de tous les agents utilisant l'IA devient obligatoire.

Les collectivités doivent désormais réaliser une analyse d'impact sur la protection des données (AIPD) pour tout système d'IA à risque élevé. Cette obligation concerne notamment les assistants virtuels qui accueillent les usagers, la vidéosurveillance intelligente, la reconnaissance faciale et les systèmes de prise de décision automatisée affectant les citoyens.

Un assistant IA RGPD conforme doit respecter le nouveau droit à l'explication pour les décisions administratives automatisées. Les citoyens peuvent exiger des explications sur les algorithmes utilisés et contester les décisions prises par l'IA. Les administrations doivent également publier leurs règles algorithmiques et leur documentation technique.

La supervision humaine devient une exigence effective, non plus formelle. Les agents formés doivent pouvoir intervenir à tout moment sur les décisions de l'assistant IA. Cette supervision nécessite une formation spécifique du personnel et des procédures claires d'intervention.

Les points clés d'un contrat assistant IA RGPD conforme

Le choix du fournisseur d'assistant IA RGPD détermine en grande partie la conformité juridique. Les clauses contractuelles doivent définir précisément les finalités de traitement des données personnelles. Chaque usage de l'assistant IA doit correspondre à un objectif administratif légitime et proportionné.

La durée de conservation des données constitue un point critique. Les fournisseurs doivent s'engager sur des délais précis et respecter les obligations de suppression. Les données d'entraînement, les conversations des citoyens et les logs techniques ont des durées de conservation différentes qu'il faut contractualiser.

Les mesures de sécurité techniques et organisationnelles doivent être détaillées dans le contrat. Le fournisseur d'assistant IA RGPD doit garantir le chiffrement des données, la sécurisation des accès et la traçabilité des opérations. Les procédures de notification des violations dans les 72 heures sont obligatoires.

L'exercice des droits des citoyens (accès, rectification, effacement) nécessite des procédures techniques précises. Le contrat doit prévoir comment les demandes seront traitées et dans quels délais. L'audit et le contrôle des sous-traitants éventuels doivent être contractualisés.

Les transferts de données hors Union européenne représentent un risque majeur. Le Cloud Act américain permet aux autorités des États-Unis d'accéder aux données hébergées par des entreprises américaines, même en Europe. Cette situation crée un conflit juridique avec le RGPD qui impose des garanties strictes pour les transferts.

Albert : l'alternative souveraine française

Face aux risques juridiques des solutions américaines, Albert représente une alternative d'assistant IA RGPD souveraine. Développé par la DINUM (Direction interministérielle du numérique), Albert fonctionne avec des modèles d'intelligence artificielle français et européens : LLaMA 3 de Meta et Mistral AI.

L'infrastructure d'Albert repose sur des serveurs hébergés en France par l'État. Cette architecture élimine les risques liés au Cloud Act américain. Les 25 administrations qui utilisent déjà Albert bénéficient d'une solution conforme au RGPD par construction.

La base documentaire d'Albert s'appuie sur service-public.fr et des données métiers spécifiques aux administrations. Cette approche garantit la fiabilité des informations fournies aux citoyens, contrairement aux modèles généralistes qui peuvent produire des hallucinations sur des sujets administratifs précis.

Soixante-dix collectivités sont actuellement en négociation pour accéder à Albert. La DINUM propose trois modalités d'accès : une API générique gratuite, un enrichissement avec des données locales et un hébergement autonome. Cette dernière option offre une autonomie complète mais nécessite des serveurs puissants.

L'équipe DINUM fait face à une forte demande qui dépasse ses capacités actuelles. Les administrations d'État restent prioritaires, mais l'ouverture aux collectivités territoriales progresse progressivement.

Un assistant IA RGPD conforme nécessite une approche rigoureuse qui combine expertise juridique et choix technique. Les sanctions récentes montrent que les autorités de contrôle ne tolèrent plus les approximations. Les collectivités qui anticipent ces obligations prennent une avance décisive sur la modernisation de leur service public.