![[ép. 238] Responsabilité : que retenir du rapport 2024-2025 de l’Observatoire SMACL ?](https://www.weka.fr/actualite/wp-content/uploads/2025/06/ep-238-responsabilite-que-retenir-du-rapport-2024-2025-de-l-observatoire-smacl-300x161.png)
![[ép. 237] Avocats côté requérants : témoignages croisés (J. Bayou, A. Terrasse)](https://www.weka.fr/actualite/wp-content/uploads/2025/06/ep-237-avocats-cote-requerants-temoignages-croises-j-bayou-a-terrasse-300x161.png)
Réaliser un inventaire des traitements algorithmiques
Un recensement primordial – La première étape, primordiale, consiste à effectuer un recensement le plus large possible des « traitements algorithmiques » utilisés dans la collectivité. Pour les collectivités dont le nombre d’agents excède 50 ETP (équivalents temps plein), il s’agit là d’une obligation préexistante, mais négligée, que toutes les collectivités devraient absolument mettre en œuvre, pour mesurer tout simplement leurs obligations et accomplir les vérifications que nous décrirons ensuite. Dans les collectivités précitées, ce recensement se double de l’obligation de publier en ligne « les règles définissant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions lorsqu’ils fondent des décisions individuelles » (CRPA, art. L. 312-1-3).
Cette obligation de recensement ne se limite pas aux systèmes d’intelligence artificielle (SIA) et doit être entendue de manière large comme s’appliquant à tous les processus décisionnels dans lesquels est mobilisé – même pour partie – un traitement informatique.
Ce recensement, réalisé par les agents eux-mêmes, suppose un minimum de connaissances techniques (qu’est-ce qu’un algorithme ? Une IA ? Une donnée personnelle ? etc.). Cette étape ne peut pas constituer une cause d’exonération. L’article 4 du Règlement européen consacré à l’IA (Règl. 2024/1689 du 13 juin 2024, dit RIA) impose en effet aux collectivités, dès lors qu’elles déploient une IA de prendre les mesures pour « garantir, dans la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés ».
Pour respecter le RIA, mais aussi et plus largement connaître leur besoin d’accompagnement juridique, les administrations devront donc sensibiliser les équipes, afin qu’elles puissent au moins identifier les traitements décisionnels par algorithme et les systèmes d’IA.
On citera quelques exemples : les nombreux services proposés par les plateformes « commande publique », depuis la constitution de DCE et de critères, jusqu’à l’analyse des candidatures et des offres ; les outils informatiques de suivi budgétaire ; les outils de gestion des personnels…
Un état des lieux à actualiser. Évidemment, l’idée n’est pas de photographier l’existant et de s’en tenir là. Quelques mois plus tard, l’état des lieux serait déjà périmé. Il est nécessaire de prévoir, même de manière informelle, une actualisation. Ce qui suppose, en pratique, de désigner un « référent », sans que ce terme fasse peur.
Désigner un référent IA
Modèle du DPO – Plusieurs approches coexistent. Les collectivités ont intérêt à désigner un référent, même amateur et imparfait. Le mieux est parfois l’ennemi du bien, et attendre d’être absolument prêt peut conduire à une beaucoup trop longue « impasse ». Le déploiement de l’IA va aller croissant et il est souhaitable de se mettre en mouvement rapidement.
Idéalement il est envisageable de s’inspirer du modèle du délégué à la protection des données (DPO ou DPD) déjà imposé par le Règlement général sur la protection des données (RGPD).
Il serait même cohérent et pratique d’ajouter tout simplement une mission à celle du DPO : recenser les systèmes algorithmiques, évaluer le niveau de risque des SIA selon les critères précisés dans le RIA, et mettre en place des audits réguliers pour détecter les éventuelles non-conformités. Le « référent » pourrait naturellement jouer également un rôle clé dans la formation des agents. Par ailleurs, il serait idéalement placé pour assurer la rédaction et la mise à jour des documents stratégiques tout en assurant une veille technologique.
Classifier les SIA en fonction du niveau de risque
Quatre niveaux de risque – Le Règlement IA repose sur le classement des systèmes d’IA selon quatre niveaux de risque (inacceptable, élevé, en matière de transparence, minime). Du niveau de risque dépend le contenu des obligations s’appliquant à l’administration, dont le rôle est très souvent celui de « déployeur » au sens du RIA.
Le risque inacceptable (assez varié : notation sociale, biométrie à distance des fins répressives, mais aussi par exemple reconnaissance d’émotion sur le lieu de travail) se traduit par une interdiction.
Le « Haut Risque » impose un contrôle plus ou moins étroit afin de limiter les atteintes aux droits ou à la sécurité des personnes.
Le risque en matière de transparence est logiquement traité par des obligations d’information et le risque minimal n’est pas spécifiquement traité.
En pratique, même dans ce dernier cas, il faudra probablement doubler le contrôle par une vérification au titre du RGPD, lui-même très encadré.
Calendrier – Attention, le calendrier est court :
- depuis le 2 février 2025, il est déjà interdit de déployer des systèmes d’IA présentant des risques inacceptables ;
- à compter du 2 août 2025, seront applicables les règles propres aux modèles d’IA à usage général ;
- le 2 août 2026, l’ensemble des dispositions seront applicables, sous réserve de certaines dispositions propres aux systèmes d’IA dit « à haut risque » de l’annexe I (très rares dans les collectivités) pour lesquelles un délai d’un an supplémentaire est prévu. Il est temps de se lancer dans le recensement et l’analyse…
Penser RGPD
Attention aux données personnelles – Le RGPD, et ses déclinaisons en droit français, s’appliquent en parallèle du nouveau RIA. Or les SIA sont de gros consommateurs de données, y compris personnelles. En pratique, l’approche juridique devra le plus souvent être double : en parallèle de la vérification « RIA » il conviendra de s’interroger sur le(s) traitement(s) de données mobilisés ou créés avec l’intelligence artificielle. Pour rappel, les données collectées le sont toujours dans une ou plusieurs finalités particulières et il n’est absolument pas évident que l’exploitation par une IA soit envisagée, et donc légale. On n’entrera pas ici dans le détail des obligations issues du RGPD ; on se contentera de rappeler qu’elles sont très souvent ignorées, alors même que leur respect est le plus souvent très encadré y compris par le Code pénal. L’arrivée de l’intelligence artificielle rend au sujet toute son actualité.
Garantir le droit des administrés (obligations CRPA)
Obligations d’information – Les collectivités doivent intégrer à leur grille d’analyse les dispositions – trop souvent oubliées – du Code des relations entre le public et l’administration (CRPA). Les obligations d’information des administrés sont nombreuses, notamment lorsqu’une décision individuelle est prise sur le fondement d’un traitement algorithmique.
Risques juridiques – Sans entrer dans le détail, on insistera sur le risque fort d’annulation de procédures que font courir ces dispositions (par exemple art. L. 311-3-1 ; R. 311-3-1-2 du CRPA. En ce sens, on rappellera la récente jurisprudence de la Cour de Justice de l’UE (27 févr. 2025, aff. C-203/22, Dun & Bradstreet Austria).
Analyser urgemment les contrats liés à l’IA
L’« achat » de l’IA – La plupart du temps, l’intelligence artificielle est « achetée » par les collectivités et non développée en interne. Il faut impérativement que les collectivités soient exigeantes et analysent attentivement les contrats correspondants. Sans prétendre à l’exhaustivité, on évoquera le report, dans les contrats des obligations pesant sur les collectivités (information des usagers, notice, pré-analyse RIA et RGPD) ou l’analyse fine des clauses exonératoires ou limitatives de responsabilité, parfois très violentes au détriment des acheteurs publics. Dans un autre registre, rappelons que, pour justifier de la passation d’un marché sans publicité et mise en concurrence pour des raisons d’exclusivité, l’acheteur devra s’assurer de ne pas être, lui-même, à l’origine de l’apparition de cette situation d’exclusivité (CCP, art. R. 2122-3 ; et l’important CJUE 9 janv. 2025, aff. C-578/23, Rép Tchèque).
Ce qui impose une analyse et une démonstration dont on pense trop souvent, à tort, pouvoir s’exonérer en invoquant la formule magique de la « nouveauté ».
Yvon Goutal, avocat au barreau de Paris et professeur des Universités associé en droit public et Théo Simon,
juriste, Cabinet Goutal, Alibert & Associés
