Note: This content is currently only available in French. An English version is coming soon.

Collectivités — Conformité

AI Act : ce que les collectivités doivent savoir

Niveaux de risque, obligations de déployeur, littératie IA et calendrier d'application. Le repère complet pour les collectivités qui déploient ou envisagent de déployer des systèmes d'IA.

Par Pierre — Groupe Milestone·Juin 2026·Lecture ~5 min

Le règlement européen sur l'intelligence artificielle (dit « AI Act ») est entré en vigueur en août 2024. Il classe les systèmes d'IA selon leur niveau de risque et impose des obligations progressives aux acteurs qui les développent ou les déploient — dont les administrations publiques et les collectivités territoriales. La collectivité qui déploie un outil IA est, dans la grande majorité des cas, un déployeur au sens du règlement.

Source : DGE / entreprises.gouv.fr — calendrier et publics concernés.

Fournisseur ou déployeur : quel rôle pour une collectivité ?

Le fournisseur est l'entité qui développe ou fait développer un système d'IA en vue de le mettre sur le marché ou en service. Si votre collectivité fait concevoir sur-mesure un outil IA par un prestataire, le prestataire est le fournisseur — et il supporte les obligations les plus importantes en matière de documentation, de tests et d'enregistrement.

Le déployeur est l'entité qui utilise un système d'IA mis au point par un tiers, dans ses propres processus. C'est le rôle de la collectivité dans la grande majorité des situations.

Le déployeur n'a pas à produire la documentation technique du modèle — mais il doit s'assurer que les conditions d'utilisation fixées par le fournisseur sont respectées, mettre en place une supervision humaine, et garantir la littératie IA de ses équipes.

Une collectivité qui fait développer un outil sur-mesure par Groupe Milestone peut faire valider avec nous la répartition précise des obligations, ce qui simplifie la mise en conformité.

Les 4 niveaux de risque et les pratiques interdites

Niveau de risque	Description	Exemples dans le secteur public	Régime
Risque inacceptable	Pratiques expressément interdites	Notation sociale des citoyens, identification biométrique temps réel en espace public, manipulation comportementale	Interdit depuis février 2025
Haut risque	Systèmes pouvant affecter des droits fondamentaux	IA pour l'attribution de prestations sociales, sélection de personnel, évaluation scolaire, infrastructure critique	Obligations renforcées — applicables à partir d'août 2026
Risque limité	Systèmes avec obligations de transparence	Chatbots, systèmes de génération de contenu	Obligation d'informer l'utilisateur qu'il interagit avec une IA
Risque minimal	Systèmes sans impact significatif identifié	Outils de productivité interne, filtres anti-spam	Aucune obligation spécifique du règlement

Les pratiques interdites depuis février 2025

Systèmes de notation sociale (évaluation des citoyens pour leur attribuer un score déterminant l'accès à des services).
Identification biométrique à distance en temps réel dans les espaces accessibles au public, sauf exceptions strictement encadrées.
Systèmes de manipulation comportementale exploitant des failles psychologiques.
Systèmes d'inférence d'émotions dans des contextes professionnels ou scolaires.

Vos obligations de déployeur

Pour tous les systèmes d'IA

Littératie IA : s'assurer que les agents qui utilisent des systèmes d'IA disposent d'un niveau suffisant de compréhension pour les utiliser de façon appropriée. Cette obligation est entrée en application en février 2025 — elle s'applique dès aujourd'hui, quel que soit le niveau de risque du système.

Pour les systèmes à risque limité

Transparence : informer les usagers lorsqu'ils interagissent avec un système d'IA (chatbot, assistant virtuel).

Pour les systèmes à haut risque (applicables à partir d'août 2026)

Supervision humaine : mécanismes permettant à un agent humain d'intervenir, corriger ou suspendre le système à tout moment.
Contrôle des données : s'assurer que les données d'entrée sont pertinentes et représentatives pour l'usage prévu.
Tenue d'un registre des événements (logs) permettant de tracer l'utilisation du système.
Évaluation de l'impact sur les droits fondamentaux avant déploiement.
Information et formation des agents qui utilisent le système.
Signalement des incidents aux autorités compétentes si un système cause un préjudice grave.

Le calendrier d'application

Date	Obligation
13 mars 2024	Adoption du règlement par le Parlement européen (vote en séance plénière)
12 juillet 2024	Publication au Journal officiel de l'Union européenne
Août 2024	Entrée en vigueur du règlement
2 février 2025	Application des interdictions (pratiques à risque inacceptable) + obligation de littératie IA pour tous les déployeurs
2 août 2025	Application des règles sur les modèles d'IA à usage général (GPAI) + désignation des autorités nationales compétentes
2 août 2026	Obligations complètes pour les systèmes à haut risque
2 août 2027	Extension aux systèmes à haut risque intégrés dans des produits réglementés

Note : ce calendrier est celui publié par la DGE / entreprises.gouv.fr à la date de rédaction (juin 2026). Les réglementations européennes peuvent faire l'objet de précisions dans les textes d'application nationaux.

Concilier AI Act et projet sur-mesure

La bonne nouvelle pour les collectivités qui font développer des outils sur-mesure : la conformité à l'AI Act se construit bien plus facilement en amont qu'en rattrapage.

Un outil conçu dès le départ avec les bonnes architectures — supervision humaine intégrée, traçabilité des décisions, documentation technique, mécanismes d'information des usagers — est conforme sans surcoût majeur. Un outil générique acheté sans audit de conformité peut nécessiter des adaptations coûteuses.

Chez Groupe Milestone, la conformité réglementaire fait partie du cadrage initial de chaque projet : nous identifions le niveau de risque AI Act applicable, les obligations correspondantes, et nous les traduisons en exigences techniques dans le développement.

Découvrez notre service Conseil & audit et notre approche des Applications métier sur-mesure.

Pour le cadrage dans la commande publique : Faire développer une application métier IA pour sa collectivité.

Pour les questions RGPD associées, consultez la section RGPD et AI Act de notre page pilier.

Questions fréquentes

La collectivité est-elle fournisseur ou déployeur au sens de l'AI Act ?

Dans la grande majorité des cas, une collectivité qui utilise un outil IA — qu'elle l'ait acheté sur étagère ou fait développer sur-mesure — est un déployeur. Elle n'a pas conçu le modèle sous-jacent. Le fournisseur est le prestataire ou l'éditeur qui a développé le système. Cette distinction détermine la répartition des obligations : le fournisseur supporte la documentation technique et les tests ; le déployeur s'assure du bon usage et de la supervision humaine.

Qu'est-ce que la littératie IA, et comment la mettre en place ?

La littératie IA désigne la capacité des personnes qui utilisent ou supervisent des systèmes d'IA à comprendre leur fonctionnement, leurs limites et leurs risques. L'obligation est entrée en application en février 2025. Concrètement, cela passe par des actions de formation et de sensibilisation adaptées aux rôles de chacun : un agent qui utilise un chatbot n'a pas besoin des mêmes connaissances qu'un responsable informatique qui supervise le système.

Quand s'appliquent les obligations des systèmes à haut risque ?

Les obligations complètes pour les systèmes classés à haut risque s'appliquent à partir du 2 août 2026. Un système est à haut risque s'il est susceptible d'affecter des droits fondamentaux : systèmes liés à l'attribution de prestations sociales, à l'évaluation scolaire, à la sélection de personnel, à la gestion d'infrastructures critiques, etc.

Un chatbot d'information aux usagers est-il à haut risque ?

Non, dans la plupart des cas. Un chatbot d'information (répondre aux questions fréquentes, orienter vers les bons services) est généralement classé à risque limité : les obligations sont principalement de transparence (informer l'usager qu'il interagit avec une IA). En revanche, si le chatbot prend des décisions qui affectent les droits de l'usager (attribution d'une aide, refus d'accès à un service), le niveau de risque peut être requalifié à la hausse.

L'AI Act s'applique-t-il aux outils IA déjà en production avant août 2024 ?

Les systèmes mis en service avant l'entrée en vigueur du règlement bénéficient en principe d'un régime transitoire, avec des délais pour se mettre en conformité — sous réserve qu'ils n'aient pas été modifiés de façon substantielle depuis. Un audit de conformité de l'existant est recommandé pour évaluer la situation.

Un projet, une problématique métier ?

Un premier échange de 30 minutes pour comprendre votre contexte et évaluer comment nous pouvons vous aider. Sans engagement.

Parlons de votre projet →