L’IA générative transforme les collectivités, mais dans le respect de quelles règles ? Cette question, posée par 87% des Directeurs Généraux des Services selon une récente enquête de l’Association des DGS, révèle un paradoxe : l’urgence d’innover face aux défis du service public se heurte aux légitimes préoccupations de conformité réglementaire.
Chez Teriagen, nous avons accompagné plus de 200 agents territoriaux dans leur appropriation de l’IA générative. Notre constat est sans appel : la conformité RGPD n’est pas un frein à l’innovation, mais son accélérateur. Les collectivités qui intègrent dès le départ les exigences réglementaires dans leurs projets IA déploient plus rapidement, avec plus de sérénité, et obtiennent de meilleurs résultats.
Ce guide complet vous propose une méthodologie éprouvée pour naviguer dans le paysage réglementaire complexe de l’IA publique. Du cadre légal aux outils pratiques, en passant par les retours d’expérience concrets, découvrez comment transformer la contrainte réglementaire en avantage concurrentiel pour votre collectivité.
Nous aborderons successivement le cadre réglementaire applicable, les risques spécifiques à identifier, la méthodologie DPIA adaptée à l’IA, les outils de gouvernance indispensables, les solutions techniques conformes, et enfin des études de cas pratiques pour éclairer votre démarche.
Cadre réglementaire : RGPD, AI Act et spécificités du service public
RGPD et traitement des données par IA : les fondamentaux revisités
Le Règlement Général sur la Protection des Données s’applique pleinement aux traitements de données personnelles utilisant l’IA générative. Cependant, les collectivités font face à des défis spécifiques qui nécessitent une approche adaptée des principes fondamentaux.
Le principe de licéité prend une dimension particulière dans le contexte de l’IA publique. Contrairement au secteur privé qui s’appuie souvent sur le consentement, les collectivités disposent de bases légales robustes : l’exécution d’une mission d’intérêt public (article 6.1.e du RGPD) pour la plupart des traitements, et l’exécution d’un contrat (article 6.1.b) pour les services aux usagers. Cette spécificité facilite le déploiement de l’IA dans le respect du RGPD.
La minimisation des données devient cruciale avec l’IA générative. Ces systèmes ont tendance à « aspirer » toutes les données disponibles pour améliorer leurs performances. Les collectivités doivent mettre en place des garde-fous techniques : pseudonymisation systématique, limitation des accès aux données strictement nécessaires, et purge automatique des données temporaires de traitement.
L’exactitude des données pose un défi particulier avec l’IA générative, connue pour ses « hallucinations ». Les collectivités doivent implémenter des mécanismes de vérification : validation humaine des réponses sensibles, sources de données fiables et mise à jour régulière, systèmes d’alerte sur les incohérences détectées.
La limitation de conservation s’applique différemment selon les usages de l’IA. Pour un chatbot municipal, les conversations peuvent être supprimées après 6 mois. Pour l’aide à la décision administrative, les durées d’archivage public s’appliquent. Cette distinction doit être clairement documentée dans le registre des traitements.
AI Act européen : nouvelles obligations pour les collectivités
L’AI Act, applicable depuis 2024 avec montée en puissance jusqu’en 2027, introduit une classification des systèmes d’IA selon leur niveau de risque. Les collectivités doivent maîtriser cette grille de lecture pour adapter leurs obligations.
Les systèmes IA à haut risque concernent directement les collectivités : aide à la décision pour l’attribution de prestations publiques, systèmes de recrutement, outils d’évaluation dans l’éducation. Ces systèmes nécessitent une analyse de conformité approfondie, une documentation technique complète, et une supervision humaine systématique.
L’IA générative relève d’obligations spécifiques de transparence. Les citoyens doivent être informés qu’ils interagissent avec un système d’IA, les contenus générés automatiquement doivent être identifiés comme tels, et des mesures de protection contre la manipulation et la désinformation doivent être mises en place.
Le calendrier d’application échelonné permet aux collectivités d’anticiper : interdiction des pratiques d’IA prohibées depuis février 2024, obligations pour l’IA à haut risque d’ici août 2026, règles pour l’IA générative d’ici août 2025. Cette progressivité offre un temps d’adaptation précieux.
Dans la pratique, un chatbot municipal d’information générale relève des obligations de transparence simples. En revanche, un système d’aide à l’attribution du RSA constitue un système à haut risque nécessitant une approche renforcée : évaluation de conformité, marquage CE, surveillance post-commercialisation.
Spécificités du secteur public français : principes constitutionnels et IA
Le service public français repose sur des principes constitutionnels qui encadrent strictement l’usage de l’IA. Le principe d’égalité interdit toute discrimination algorithmique. Les collectivités doivent auditer régulièrement leurs systèmes IA pour détecter d’éventuels biais : sur-représentation de certaines catégories dans les données d’entraînement, corrélations fallacieuses entre caractéristiques personnelles et décisions administratives.
La transparence administrative va au-delà des obligations européennes. Le droit français reconnaît un droit à l’explication renforcé : tout citoyen peut demander les critères de décision ayant conduit à une mesure le concernant. Pour l’IA, cela implique une traçabilité complète des processus décisionnels et la capacité d’expliquer en langage naturel le raisonnement algorithmique.
L’archivage public impose des durées de conservation spécifiques selon la nature des documents. Les décisions administratives assistées par IA entrent dans cette catégorie et doivent être conservées selon les règles en vigueur : 5 ans pour les décisions individuelles, 30 ans pour les délibérations, durée illimitée pour les documents à valeur historique.
Les marchés publics intégrant de l’IA doivent inclure des clauses RGPD spécifiques : localisation des données, sous-traitance autorisée, audits de conformité, transferts internationaux. Le code de la commande publique impose également la prise en compte des enjeux de souveraineté numérique dans les critères d’attribution.
Cartographie des risques IA dans les collectivités
Risques liés aux données personnelles : identifier les vulnérabilités
La sur-collecte de données constitue le premier risque identifié dans nos audits. L’IA générative fonctionne d’autant mieux qu’elle dispose de données contextuelles riches. Cette logique peut conduire à collecter plus d’informations que nécessaire : historique complet des interactions citoyens alors que seules les 3 dernières sont pertinentes, croisement de bases de données distinctes sans justification fonctionnelle.
Dans une commune de 15 000 habitants que nous avons accompagnée, l’assistant IA développé pour les services sociaux accédait initialement à l’intégralité du dossier citoyen, y compris des informations sans rapport avec la demande traitée. La mise en conformité a consisté à limiter l’accès aux seules données pertinentes selon le type de demande : état civil pour les démarches administratives, situation familiale pour les aides sociales, sans croisement systématique.
La dérive fonctionnelle représente un risque majeur souvent sous-estimé. Un système IA déployé pour automatiser les réponses aux emails citoyens peut progressivement être utilisé pour analyser la satisfaction des usagers, puis pour identifier les « profils à risque », s’éloignant ainsi de sa finalité initiale. Cette dérive, techniquement simple, constitue une violation du principe de finalité du RGPD.
Les fuites de données via les prompts constituent une vulnérabilité spécifique à l’IA générative. Un agent mal formé peut involontairement inclure des données personnelles dans ses instructions à l’IA : « Rédige une réponse à M. Dupont, 45 ans, divorcé, sans emploi depuis 2 ans, habitant 15 rue Victor Hugo ». Cette pratique expose les données personnelles au système IA et potentiellement à d’autres utilisateurs si l’IA conserve un historique partagé.
Risques algorithmiques et biais : préserver l’équité du service public
La discrimination algorithmique menace directement le principe d’égalité du service public. Les biais peuvent être introduits à différents niveaux : données d’entraînement non représentatives de la population, corrélations statistiques fallacieuses entre caractéristiques personnelles et comportements, ou optimisation sur des critères indirectement discriminatoires.
Dans une collectivité départementale, l’analyse d’un système d’aide à l’attribution des aides au logement a révélé un biais défavorable aux femmes seules avec enfants. Le système, entraîné sur l’historique des attributions, reproduisait des pratiques passées potentiellement discriminatoires. La correction a nécessité un rééquilibrage des données d’entraînement et l’introduction de contraintes d’équité dans l’algorithme.
L’exactitude des réponses pose un défi constant avec l’IA générative. Les « hallucinations » peuvent avoir des conséquences graves dans le contexte du service public : informations erronées sur les droits sociaux, dates limite incorrectes pour les démarches administratives, ou procédures inexistantes présentées comme officielles.
Une ville de 8 000 habitants a expérimenté cette difficulté avec son chatbot d’accueil. L’IA générait parfois des réponses plausibles mais incorrectes sur les horaires d’ouverture des services ou les pièces nécessaires pour certaines démarches. La solution a consisté à limiter l’IA aux informations présentes dans une base de connaissances validée et régulièrement mise à jour, avec renvoi systématique vers un agent humain pour les questions non documentées.
La transparence des décisions devient complexe avec l’IA générative. Contrairement aux algorithmes traditionnels dont la logique peut être explicitée, les modèles de langage fonctionnent comme des « boîtes noires ». Cette opacité pose problème pour le droit à l’explication et peut générer une défiance citoyenne.
Risques organisationnels : gouvernance et responsabilité
La gouvernance floue constitue le premier facteur de risque organisationnel. Qui décide du déploiement d’un nouveau cas d’usage IA ? Qui contrôle la qualité des réponses ? Qui est responsable en cas de dysfonctionnement ? L’absence de réponses claires à ces questions génère des zones d’irresponsabilité propices aux incidents.
Dans une agglomération de 30 communes, l’absence de gouvernance IA a conduit à un déploiement anarchique : chaque service développait ses propres solutions, sans coordination ni contrôle. Le risque de non-conformité était maximal, les coûts explosaient, et l’efficacité globale restait limitée. La mise en place d’un comité IA transversal et d’un processus de validation unifié a permis de reprendre le contrôle.
Les compétences insuffisantes des utilisateurs représentent un risque majeur souvent négligé. Un agent non formé aux bonnes pratiques de l’IA peut générer involontairement des réponses inappropriées, exposer des données personnelles, ou créer des situations de non-conformité. La formation ne doit pas se limiter aux aspects techniques mais inclure les dimensions éthiques et réglementaires.
La responsabilité en cas de sous-traitance soulève des questions juridiques complexes. La collectivité reste responsable du traitement de données personnelles même quand elle utilise un service d’IA externe. Les contrats doivent clairement répartir les responsabilités : le prestataire garantit la conformité technique de son service, la collectivité reste responsable de l’usage qu’elle en fait et des finalités poursuivies.
Méthodologie DPIA pour les projets IA
Quand réaliser une DPIA IA ? Critères de déclenchement adaptés
La liste de la CNIL identifie plusieurs types de traitements nécessitant systématiquement une Analyse d’Impact sur la Protection des Données (DPIA). Pour les collectivités utilisant l’IA, plusieurs critères se cumulent souvent : évaluation ou notation des personnes, surveillance systématique, croisement ou rapprochement de données.
Un chatbot municipal collectant uniquement les questions citoyens sans identification ne nécessite généralement pas de DPIA. En revanche, un système d’aide à la décision pour l’attribution d’aides sociales, qui évalue automatiquement l’éligibilité des demandeurs, entre clairement dans le champ des traitements à haut risque nécessitant une DPIA.
La grille de décision que nous avons développée aide les collectivités à trancher dans les cas limites. Elle évalue neuf critères : type de données traitées, finalité du traitement, base légale, technologies utilisées, étendue du traitement, contexte du traitement, contrôle des personnes concernées, risques pour les droits et libertés, et mesures de protection prévues.
Les cas pratiques rencontrés illustrent cette complexité. Un système de transcription automatique des conseils municipaux ne nécessite pas de DPIA si les enregistrements sont anonymisés avant traitement. Si le système identifie les intervenants pour structurer le compte-rendu, une DPIA devient recommandée. Si l’IA analyse le contenu pour identifier les positions politiques de chaque élu, la DPIA devient obligatoire.
Conduite de la DPIA : étapes clés adaptées à l’IA
La description détaillée du système IA constitue la première étape cruciale. Elle doit couvrir les aspects techniques (modèle utilisé, données d’entraînement, infrastructure d’hébergement), fonctionnels (cas d’usage, processus métier, interfaces utilisateur), et organisationnels (acteurs impliqués, flux de données, mesures de sécurité).
Cette description révèle souvent des complexités insoupçonnées. Dans une commune de 20 000 habitants, l’analyse détaillée d’un projet d’assistant IA pour les services techniques a révélé que le système accédait indirectement à 15 bases de données différentes, impliquait 8 services municipaux, et générait 23 types de documents distincts. Cette cartographie exhaustive était indispensable pour évaluer correctement les risques.
L’évaluation de nécessité et proportionnalité prend une dimension particulière avec l’IA. La question n’est plus seulement « ce traitement est-il nécessaire ? » mais « cette technologie IA est-elle appropriée pour atteindre l’objectif ? » Les alternatives moins intrusives doivent être systématiquement examinées : un formulaire intelligent peut-il remplacer un chatbot ? Une recherche dans une FAQ peut-elle éviter l’analyse automatique des emails ?
L’identification des risques spécifiques à l’IA nécessite une grille d’analyse dédiée. Nous avons identifié 12 catégories de risques : sur-collecte de données, dérive fonctionnelle, biais algorithmiques, hallucinations, manipulation, surveillance excessive, exclusion numérique, perte de contrôle humain, dépendance technologique, risques cyber, risques réputationnels, et risques juridiques.
L’évaluation de l’impact pour chaque risque identifié utilise une matrice croisant probabilité et gravité. Un biais algorithmique dans l’attribution d’aides sociales présente une probabilité moyenne mais une gravité maximale (atteinte aux droits fondamentaux). Une hallucination dans un chatbot d’information générale a une probabilité élevée mais une gravité faible (simple désagrément). Cette hiérarchisation guide la priorisation des mesures de protection.
Documentation et traçabilité : exigences renforcées
Le registre des traitements IA doit être adapté aux spécificités de ces technologies. Nous recommandons d’ajouter aux champs standard du registre CNIL plusieurs informations spécifiques : type de modèle IA utilisé, données d’entraînement, processus de mise à jour, mesures contre les biais, supervision humaine prévue, et procédures d’audit.
Cette documentation enrichie s’avère précieuse lors des contrôles. Une collectivité auditée par la CNIL a pu démontrer sa conformité grâce à un registre détaillé documentant précisément l’usage de l’IA dans ses 12 cas d’usage : finalités, données traitées, mesures de protection, et résultats des audits de biais réalisés.
Les mentions d’information doivent être adaptées à l’IA générative. Les citoyens doivent être informés de l’usage d’un système automatisé, des données utilisées pour l’entraînement (si elles les concernent), des critères de décision (pour les systèmes d’aide à la décision), et de leurs droits spécifiques (opposition, explication, intervention humaine).
La traçabilité des décisions IA pose des défis techniques spécifiques. Contrairement à un algorithme classique, il est difficile de « rejouer » une décision d’IA générative. Les collectivités doivent mettre en place des mécanismes de journalisation complets : prompt utilisé, contexte de la demande, réponse générée, validation humaine éventuelle, et feedback utilisateur.
Chartes d’usage et gouvernance IA
Élaboration d’une charte IA municipale : processus participatif
La charte d’usage IA constitue l’outil de gouvernance central pour encadrer l’innovation responsable dans les collectivités. Son élaboration doit suivre un processus participatif associant l’ensemble des parties prenantes : élus, agents, citoyens, et experts externes.
Le contenu type d’une charte municipale couvre sept domaines essentiels. Les principes éthiques définissent les valeurs guidant l’usage de l’IA : transparence, équité, respect de la vie privée, contrôle humain. Les cas d’usage autorisés listent précisément les applications validées : assistance à la rédaction, traitement des emails citoyens, aide à la décision non contraignante. Les usages interdits sont explicitement proscrits : surveillance des agents, profilage des citoyens, décisions automatisées sans recours.
Les règles d’usage détaillent les bonnes pratiques : formation préalable obligatoire, validation hiérarchique pour les nouveaux cas d’usage, audit régulier des résultats, signalement des dysfonctionnements. Les responsabilités de chaque acteur sont clairement définies : l’élu référent valide la stratégie IA, le DGS supervise le déploiement, les chefs de service contrôlent l’usage dans leur périmètre, les agents utilisateurs respectent les procédures.
La procédure de validation institutionnelle varie selon la taille de la collectivité. Dans une commune, le conseil municipal adopte la charte par délibération. Dans une intercommunalité, le bureau communautaire peut recevoir délégation. Dans tous les cas, l’intégration au règlement intérieur renforce la portée juridique du document.
Organisation de la gouvernance IA : structures et processus
Le comité IA constitue l’instance de pilotage stratégique de l’innovation artificielle dans la collectivité. Sa composition type réunit 8 à 12 membres : l’élu référent numérique (président), le DGS ou son représentant, le DPO, le DSI, les directeurs des principaux services utilisateurs, un représentant du personnel, et éventuellement un expert externe.
Ses missions couvrent quatre domaines principaux. La stratégie IA : définition des orientations, validation du plan de déploiement, arbitrage des priorités budgétaires. Le contrôle opérationnel : validation des nouveaux cas d’usage, audit des résultats, traitement des incidents. L’animation des communautés : coordination des référents métier, capitalisation des bonnes pratiques, organisation de la formation. La veille réglementaire : suivi des évolutions légales, adaptation des procédures, dialogue avec les autorités de contrôle.
Les référents métier IA assurent le relais opérationnel dans chaque service. Formés aux spécificités techniques et réglementaires de l’IA, ils accompagnent leurs collègues dans l’usage quotidien des outils, identifient de nouveaux cas d’usage, et remontent les difficultés rencontrées. Leur formation approfondie en fait des ambassadeurs crédibles de l’innovation responsable.
Le circuit de validation des nouveaux projets IA suit un processus en quatre étapes. L’expression de besoin par un service utilisateur décrit l’objectif, les contraintes, et les bénéfices attendus. L’analyse d’opportunité par le référent métier évalue la faisabilité technique, les risques réglementaires, et l’impact organisationnel. La validation technique par la DSI confirme la conformité architecturale et sécuritaire. L’autorisation par le comité IA donne le feu vert définitif après examen des enjeux stratégiques.
Formation et sensibilisation : construire une culture IA responsable
Le parcours de formation RGPD-IA s’articule en trois niveaux adaptés aux différents profils d’utilisateurs. Le module fondamental, obligatoire pour tous les agents, couvre les principes de base de l’IA générative, les enjeux éthiques du service public, et les bonnes pratiques d’usage. D’une durée de 3 heures, il alterne présentations théoriques et cas pratiques.
Les modules spécialisés approfondissent les spécificités métier. Le module « communication » forme aux outils de génération de contenu en respectant l’image institutionnelle. Le module « services sociaux » sensibilise aux risques de biais dans l’aide à la décision. Le module « juridique » détaille les implications réglementaires pour les actes administratifs assistés par IA.
La formation des managers revêt une importance particulière. Ces acteurs clés doivent comprendre les enjeux stratégiques de l’IA, maîtriser les outils de contrôle et d’audit, et savoir accompagner le changement dans leurs équipes. Le programme de 2 jours alterne formations théoriques, retours d’expérience, et ateliers de mise en situation.
L’évaluation des connaissances s’appuie sur des tests pratiques plutôt que théoriques. Les agents doivent démontrer leur capacité à utiliser l’IA de manière conforme dans des situations réelles : rédiger un prompt respectueux des données personnelles, identifier une réponse biaisée, signaler un dysfonctionnement. Cette approche pragmatique garantit l’acquisition des compétences opérationnelles.
Solutions techniques conformes RGPD
Critères de choix des outils IA : souveraineté et conformité
L’hébergement des données constitue le premier critère de conformité pour les collectivités. Le Cloud Act américain et les lois de renseignement étrangères créent des risques d’accès extraterritorial aux données européennes. Les collectivités doivent privilégier des solutions hébergées dans l’Union Européenne, avec des garanties contractuelles explicites sur l’absence de transfert vers des pays tiers.
Dans une métropole de 400 000 habitants, le choix d’une solution IA américaine hébergée aux États-Unis a nécessité la mise en place de clauses contractuelles types et d’une analyse d’impact spécifique aux transferts internationaux. L’alternative européenne, plus coûteuse initialement, s’est révélée plus simple à déployer et plus économique à long terme grâce à la réduction des coûts de conformité.
Le chiffrement des données doit couvrir l’ensemble du processus de traitement. Les données doivent être chiffrées en transit (entre les systèmes de la collectivité et le service IA) et au repos (dans les bases de données du prestataire). Le chiffrement des données en cours de traitement, techniquement plus complexe, devient indispensable pour les données les plus sensibles.
Les certifications et audits du prestataire IA donnent des garanties sur sa capacité à respecter le RGPD. La certification ISO 27001 atteste de la maturité en sécurité informatique. La certification SOC 2 Type II valide les processus de protection des données. L’audit RGPD par un tiers indépendant confirme la conformité réglementaire. Ces éléments, sans être suffisants, constituent des prérequis indispensables.
Architecture technique sécurisée : isolation et traçabilité
L’isolation des environnements protège les données sensibles de la collectivité. L’IA ne doit pas accéder directement aux bases de données métier mais à des environnements dédiés contenant uniquement les données nécessaires à son fonctionnement. Cette architecture en « zone démilitarisée » limite les risques de fuite et facilite l’audit des accès.
Une communauté d’agglomération de 200 000 habitants a mis en place une architecture exemplaire : les données citoyens sont pseudonymisées avant injection dans l’environnement IA, les réponses générées sont contrôlées par un filtre automatique avant diffusion, et l’historique des interactions est conservé dans un système séparé pour audit. Cette séparation fonctionnelle garantit la sécurité sans entraver les performances.
La pseudonymisation des données personnelles représente la mesure de protection la plus efficace. Les techniques de hachage irréversible permettent de préserver l’utilité des données pour l’IA tout en empêchant l’identification directe des personnes. La collectivité conserve la table de correspondance dans un environnement sécurisé séparé, permettant la re-identification uniquement en cas de nécessité légale.
Les mécanismes de traçabilité doivent enregistrer l’ensemble des interactions avec les systèmes IA. Les logs incluent l’identification de l’utilisateur, l’horodatage précis, la requête formulée, la réponse générée, et les actions de validation ou correction. Cette journalisation exhaustive permet l’audit a posteriori et constitue une preuve de conformité en cas de contrôle.
Alternatives européennes et souveraines : panorama des solutions
Mistral AI s’impose comme l’alternative française de référence pour l’IA générative. Hébergé exclusivement en Europe, avec des modèles entraînés selon les standards européens de protection des données, Mistral offre des performances comparables aux solutions américaines. Ses API permettent une intégration facile dans les systèmes d’information des collectivités, et son offre « Mistral for Government » répond spécifiquement aux besoins du secteur public.
Aleph Alpha, solution allemande, se positionne sur le segment des données ultra-sensibles. Son architecture permet le traitement local des données sans transfert cloud, répondant aux exigences les plus strictes de souveraineté. Utilisée par plusieurs administrations allemandes, elle commence à équiper des collectivités françaises pour les cas d’usage les plus critiques.
Les solutions hybrides combinent la puissance du cloud public pour les données non sensibles et l’hébergement local pour les informations critiques. Cette approche permet d’optimiser les coûts tout en respectant les contraintes de conformité. Une région de 3 millions d’habitants utilise ainsi Mistral AI pour l’assistance à la rédaction et une solution on-premise pour l’aide à la décision en matière d’aides sociales.
Le comparatif coût-performances-conformité révèle des écarts significatifs entre solutions. Les alternatives européennes présentent un surcoût initial de 20 à 40% par rapport aux leaders américains, mais ce différentiel se réduit quand on intègre les coûts de mise en conformité : audit RGPD, clauses contractuelles spécifiques, measures de protection additionnelles. À l’usage, les solutions européennes s’avèrent souvent plus économiques.
Méthodes d’accompagnement éprouvées
Audit de conformité IA : diagnostic et recommandations
Notre grille d’évaluation de la conformité RGPD-IA comprend 50 points de contrôle répartis en 8 domaines. La gouvernance examine l’existence et l’efficacité des structures de pilotage. Les processus vérifient la formalisation des procédures de validation et de contrôle. La documentation contrôle la complétude du registre des traitements et des mentions d’information.
Les aspects techniques auditent l’architecture de sécurité, les mesures de protection des données, et les mécanismes de traçabilité. La formation évalue le niveau de compétence des utilisateurs et l’adéquation des programmes de sensibilisation. Les contrats analysent la conformité des clauses avec les prestataires IA. La gestion des risques vérifie l’identification et le traitement des vulnérabilités. Enfin, la surveillance contrôle les dispositifs de monitoring et d’audit continu.
Le diagnostic participatif implique l’ensemble des acteurs concernés pendant 3 jours d’immersion. Les entretiens individuels avec les décideurs (élus, DGS, DPO) identifient les enjeux stratégiques et les zones de vigilance. Les ateliers collectifs avec les utilisateurs révèlent les pratiques réelles, souvent différentes des procédures théoriques. L’analyse documentaire examine la conformité formelle des outils de gouvernance.
Cette approche révèle régulièrement des écarts entre intentions et réalité. Dans une communauté de communes de 40 000 habitants, l’audit a découvert que les agents utilisaient des IA grand public (ChatGPT, Claude) pour traiter des données personnelles, malgré l’interdiction formelle inscrite dans la charte. Cette révélation a conduit à revoir la stratégie de formation et à déployer rapidement des outils conformes pour canaliser les usages.
Accompagnement à la mise en conformité : méthode progressive
La phase 1 mobilise les équipes dirigeantes pendant 2 jours de formation intensive. Le programme couvre
