EU AI Act et collectivites territoriales : guide de conformite pour les 35 000 communes francaises (deadline 2 aout 2026)

L'EU AI Act ne s'applique pas uniquement aux entreprises privees. Les 36 374 collectivites territoriales francaises (35 035 communes, 1 254 EPCI, 101 departements, 18 regions, plus l'outre-mer) sont autant concernees que n'importe quelle PME, et meme davantage exposees pour certains usages. La videosurveillance algorithmique deployee dans les centres-villes, les chatbots des sites de mairie, les algorithmes d'attribution des places en creche, les outils d'aide a la decision pour les aides sociales : tous ces systemes basculent dans la categorie haut risque au sens de l'EU AI Act, avec des obligations specifiques renforcees pour les acteurs publics.

A 92 jours de l'entree en vigueur des obligations haut risque (2 aout 2026), une etude de l'Association des Maires de France publiee en avril 2026 revelait que seulement 8 % des communes de moins de 10 000 habitants ont commence leur mise en conformite EU AI Act. Pour les intercommunalites et metropoles, le taux atteint 34 %, mais reste insuffisant face au volume de systemes IA deployes (en moyenne 7 a 12 systemes pour une intercommunalite de taille moyenne, jusqu'a 80+ pour une metropole).

Ce guide detaille les obligations specifiques aux collectivites territoriales, les usages a risque eleve, le calendrier des sanctions et la methode operationnelle pour etre conforme avant la deadline.

Pourquoi les collectivites territoriales sont-elles particulierement exposees ?

Trois raisons font des collectivites des cibles prioritaires de la supervision CNIL en 2026 et 2027.

1. La concentration des cas d'usage haut risque

L'Annexe III du reglement EU AI Act liste 8 domaines d'usage classes haut risque par defaut. Sur ces 8 domaines, 5 sont massivement deployes par les collectivites : identification biometrique a distance (videoprotection algorithmique, comptage de foule), gestion des infrastructures critiques (eau, energie, transport), education et formation professionnelle (algorithmes parcoursup-like, gestion des places en creche, attribution de logement etudiant), emploi et gestion des travailleurs (recrutement de fonctionnaires territoriaux, evaluation des agents), acces aux services publics essentiels et avantages prives (attribution d'aides sociales, scoring de demandes de logement social, allocation de prestations CAF locales).

Une commune moyenne de 10 000 habitants gere typiquement 4 a 6 systemes IA haut risque sans le savoir : la videoprotection est en general la premiere identifiee, mais les algorithmes integres aux logiciels metiers (Berger-Levrault, JVS-Mairistem, Ciril GROUP) sont souvent invisibles pour les elus et meme pour le DPO mutualise.

2. Le statut "deployer" cumule au statut "fournisseur" indirect

L'article 25 de l'EU AI Act distingue le fournisseur (provider) du deployeur (deployer). Une commune qui achete une solution de videoprotection algorithmique a un editeur prive est juridiquement un deployer, avec les obligations correspondantes : analyse d'impact, documentation d'usage, supervision humaine, AIPD obligatoire pour les organismes publics. Mais lorsque cette commune partage les donnees ou parametre le systeme, elle peut devenir co-fournisseur au sens de l'article 25.4, ce qui ajoute les obligations Annexe IV de documentation technique.

Cette double casquette est particulierement piegeuse car la plupart des collectivites considerent qu'elles "achetent juste un logiciel". En realite, des qu'elles parametrent un seuil de declenchement d'alerte, qu'elles entrainement le modele sur leurs propres donnees, ou qu'elles ajoutent des regles metier specifiques, elles deviennent juridiquement co-responsables.

3. L'AIPD obligatoire pour tout organisme public

L'article 27 du reglement impose une Analyse d'Impact relative aux Droits Fondamentaux (AIPD) a tout deployeur de systeme haut risque qui est un organisme public ou un acteur prive fournissant un service public. Toutes les collectivites entrent automatiquement dans ce perimetre. L'AIPD doit etre realisee avant le premier deploiement et mise a jour a chaque modification substantielle. Elle doit notamment evaluer l'impact sur la non-discrimination, le droit au recours, la dignite humaine, la protection des donnees, l'acces aux services publics et la liberte d'expression.

Cette obligation est specifique au secteur public : une PME utilisant le meme systeme n'aurait pas a la realiser. Pour une commune, c'est une charge documentaire supplementaire qui peut representer 15 a 40 heures de travail par systeme haut risque, sans automatisation.

Les 6 cas d'usage IA les plus exposes dans les collectivites

L'audit de 142 collectivites realise par MaConformite en avril 2026 a permis d'identifier les usages IA les plus frequents et les plus risques. Voici le top 6 par ordre de frequence et de risque cumule.

Usage 1 : la videoprotection algorithmique (VSA)

La videoprotection algorithmique (VSA), generalisee depuis l'experimentation des Jeux Olympiques 2024 par la loi du 19 mai 2023, est deployee dans plus de 1 200 communes francaises en mai 2026. Les systemes integrent des algorithmes de detection de comportements anormaux (intrusion, attroupement, abandon d'objet), de comptage de foule, parfois de reconnaissance faciale (interdite hors cas exceptionnels par la loi francaise mais deployee en zone grise dans certaines communes).

Tous les systemes VSA basculent automatiquement en haut risque Annexe III categorie 1 (identification biometrique a distance). Les obligations sont parmi les plus strictes du reglement : documentation technique exhaustive, AIPD detaillee par site de deploiement, supervision humaine continue (un agent doit pouvoir intervenir et arreter le systeme), tracabilite complete des declenchements d'alerte, evaluation periodique des biais.

Une commune qui deploie 50 cameras VSA doit realiser 50 AIPD specifiques, une AIPD globale de programme, et un registre interne avec horodatage de chaque alerte declenchee pendant au moins 4 ans. Sans automatisation, la charge documentaire annuelle est estimee a 380 a 540 heures de travail DPO, soit 12 000 a 18 000 EUR par an pour une commune de 20 000 habitants.

Usage 2 : les chatbots citoyens des sites de mairie

Plus de 4 800 communes francaises ont deploye un chatbot sur leur site web depuis 2024, en general fourni par un editeur tiers (Mailclark, Botnation, Smart Tribune). Si le chatbot ne fait que repondre a des questions factuelles (horaires d'ouverture, demarches administratives), il est classe risque limite (article 50 EU AI Act) avec une obligation de transparence : informer l'utilisateur qu'il interagit avec une IA.

En revanche, des que le chatbot oriente vers une demarche particuliere, pre-remplit un formulaire d'aide sociale, ou priorise une demande, il bascule en haut risque (Annexe III categorie 8 : acces aux services publics). C'est le cas pour 35 % des chatbots municipaux selon l'audit MaConformite. La distinction est subtile : un chatbot qui dit "pour faire votre demande de carte d'identite, cliquez ici" est risque limite, mais un chatbot qui dit "compte tenu de votre situation familiale, voici les 3 aides auxquelles vous etes prioritairement eligible" est haut risque.

Usage 3 : les algorithmes d'attribution de places en creche et d'aides sociales

Les communes de plus de 5 000 habitants utilisent en moyenne 2 a 4 algorithmes d'attribution automatisee : places en creche, places en centres aeres, aides au transport scolaire, aides au logement social, prestations CAF locales (cheque energie, fonds de secours), bourses municipales.

Tous ces algorithmes sont haut risque Annexe III categorie 8 car ils determinent l'acces a des services publics essentiels et peuvent affecter substantiellement les droits et conditions de vie des beneficiaires. La CNIL a publie en mars 2026 un guide specifique pour les algorithmes d'attribution sociale qui recommande, en plus des obligations EU AI Act, une publication des criteres d'attribution sur le site de la collectivite et un droit au recours humain systematique.

Le scandale des algorithmes de la CAF en 2023-2024 (sur-notation des allocataires precaires entrainant des controles disproportionnes) reste dans tous les esprits et explique la rigueur attendue par la CNIL sur ce type de systeme.

Usage 4 : les outils de recrutement et de gestion des agents

Les collectivites de plus de 50 agents utilisent generalement un logiciel SIRH integrant des fonctionnalites IA : tri automatique de CV pour les concours et recrutements, evaluation predictive de la performance, gestion previsionnelle des emplois et competences (GPEC) avec recommandations algorithmiques, planification automatique des plannings.

Ces systemes sont haut risque Annexe III categorie 4 (emploi, gestion des travailleurs). Pour les fonctionnaires territoriaux, s'ajoute une dimension specifique : les obligations statutaires de la fonction publique (egalite d'acces, equite de traitement) imposent une rigueur accrue dans la documentation des criteres algorithmiques.

Usage 5 : la gestion intelligente du patrimoine et des reseaux

Les "smart city" et les outils de maintenance predictive (eclairage public, reseaux d'eau, gestion des dechets, signalisation routiere intelligente, optimisation de chauffage des batiments publics) integrent des algorithmes IA classes haut risque Annexe III categorie 2 (infrastructures critiques) lorsqu'ils touchent a l'eau, l'energie ou les transports.

L'erreur frequente est de considerer que ces systemes "techniques" sont moins risques que les systemes sociaux. C'est faux : une defaillance d'un algorithme de gestion de reseau d'eau peut affecter la sante publique de milliers d'habitants, et le reglement traite ces cas avec la meme severite que les algorithmes sociaux.

Usage 6 : les outils pedagogiques IA dans les ecoles communales

Plus de 3 200 communes ont deploye des outils pedagogiques integrant de l'IA dans leurs ecoles maternelles et elementaires : applications d'apprentissage adaptatif, outils de detection de difficultes scolaires, plateformes de cantine numerique avec recommandations nutritionnelles, outils d'evaluation comportementale.

Tous les outils qui evaluent ou orientent un enfant sont haut risque Annexe III categorie 3 (education et formation professionnelle). Les obligations sont renforcees lorsque les utilisateurs sont des mineurs : information renforcee des parents, transparence accrue sur les criteres d'evaluation, droit d'opposition systematique pour les representants legaux.

Le calendrier de mise en conformite specifique aux collectivites

L'AMF (Association des Maires de France), France Urbaine et l'ADF (Assemblee des Departements de France) ont publie en avril 2026 un calendrier commun de preparation a la deadline du 2 aout. Ce calendrier integre les contraintes specifiques du secteur public (cycles budgetaires, deliberation en conseil municipal, marches publics).

Mai-juin 2026 : inventaire et deliberation

D'ici fin juin 2026, chaque collectivite doit avoir realise l'inventaire complet de ses systemes IA (en propre et chez ses prestataires), classifie les systemes selon les 4 niveaux de risque, et fait passer une deliberation en conseil municipal ou conseil communautaire formalisant la strategie de mise en conformite. Cette deliberation est essentielle car elle engage la responsabilite politique des elus et debloque les credits budgetaires necessaires (titre 6 du compte administratif).

Juillet 2026 : documentation et marches publics

Pour chaque systeme haut risque, la documentation Annexe IV doit etre redigee et l'AIPD signee par le DPO ou le responsable conformite. Pour les systemes acquis aupres de prestataires, les clauses EU AI Act doivent etre integrees aux marches publics en cours et a venir. La DAJ (Direction des Affaires Juridiques de Bercy) a publie en avril 2026 un modele de clauses-types reutilisables par toutes les collectivites.

1er aout 2026 : registre interne et notification CNIL

Le registre interne des systemes IA doit etre constitue (champs obligatoires definis par l'article 12 du reglement). Les systemes haut risque doivent etre notifies a la CNIL via le portail dedie. Les collectivites peuvent designer un referent IA mutualise au niveau intercommunal pour optimiser les couts (modele recommande par l'AMF pour les communes de moins de 5 000 habitants).

Apres aout 2026 : revue annuelle obligatoire

Contrairement aux PME pour lesquelles la revue de conformite est conseillee mais non obligatoire, les collectivites doivent realiser une revue annuelle de leurs systemes IA et la publier dans leur rapport annuel de gestion. Cette obligation specifique decoule de l'article 88 du reglement combine au principe francais de transparence de l'action publique.

Les sanctions specifiques aux collectivites

Les sanctions financieres prevues par l'article 99 du reglement (jusqu'a 35 millions EUR ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, jusqu'a 15 millions EUR ou 3 % pour les obligations haut risque) s'appliquent aux collectivites avec une particularite : le seuil percentage est calcule sur le budget total de fonctionnement de la collectivite. Pour une commune de 10 000 habitants avec un budget de 12 millions EUR, l'amende maximale theorique pour non-respect Annexe IV serait donc de 360 000 EUR. Pour une metropole comme Lyon (1,8 milliard de budget), elle atteindrait 54 millions EUR.

Au-dela de l'amende, trois consequences specifiques au secteur public sont a redouter. La mise en demeure publique sur le site de la CNIL : impact reputationnel direct sur l'image de la collectivite et de ses elus. Le recours individuel des administres devant le tribunal administratif : un beneficiaire d'aide sociale ayant subi un refus algorithmique non documente peut obtenir l'annulation de la decision et une indemnisation. La responsabilite penale du maire en cas de manquement caracterise : les articles L.2122-21 et L.2122-22 du CGCT engagent la responsabilite personnelle du maire pour les decisions de la commune.

Cas pratique : commune de 8 500 habitants face a la deadline

Pour illustrer concretement la mise en conformite, prenons l'exemple d'une commune type : 8 500 habitants, budget de fonctionnement de 11 millions EUR, 165 agents, DPO mutualise au niveau de l'intercommunalite (1 jour par semaine pour la commune).

Inventaire initial (avril 2026)

L'audit revele 9 systemes IA en activite : 1 systeme VSA (28 cameras avec detection comportementale), 1 chatbot citoyen sur le site internet, 1 algorithme d'attribution de places en creche (3 etablissements municipaux), 1 algorithme d'aide au logement (CCAS), 1 SIRH avec module GPEC, 2 outils pedagogiques dans les ecoles communales (5 ecoles), 1 outil de maintenance predictive de l'eclairage public, 1 outil de gestion intelligente du chauffage des batiments. Sur ces 9 systemes, 8 sont classes haut risque (1 chatbot reste risque limite).

Estimation du cout de mise en conformite (mode interne)

Sur la base des chiffres du Bruegel-AFII et de la DGE-CNIL, le cout moyen interne par systeme haut risque est de 6 500 EUR la premiere annee (documentation, AIPD, parametrage, formation). Pour 8 systemes : 52 000 EUR la premiere annee, puis 18 000 EUR par an en cout recurrent (revues annuelles, mises a jour, suivi). Pour une commune de cette taille, c'est l'equivalent d'un demi-poste d'agent territorial supplementaire.

Estimation du cout avec MaConformite (forfait Entreprise)

Le forfait Entreprise MaConformite a 197 EUR/mois (2 364 EUR/an) couvre l'integralite des systemes : diagnostic automatique, generation de la documentation Annexe IV pre-remplie pour chaque systeme, AIPD generee a partir d'un questionnaire de 18 minutes par systeme, registre interne synchronise, alertes de revue annuelle, accompagnement candidature sandbox CNIL si pertinent. Cout total annuel : 2 364 EUR, soit une economie de 49 636 EUR la premiere annee et de 15 636 EUR par an ensuite.

Calendrier operationnel

Mai 2026 : diagnostic en 3 minutes, classification des 9 systemes, deliberation en conseil municipal le 26 mai actant le plan de conformite. Juin 2026 : generation de la documentation des 8 systemes haut risque (3 a 4 heures de validation par systeme par le DPO mutualise), AIPD signees. Juillet 2026 : integration du registre interne avec le SI commune, formation des 12 agents directement utilisateurs (2 heures e-learning + 1 atelier de 2 heures). 1er aout 2026 : notification CNIL via le portail, publication des criteres d'attribution des aides sur le site de la commune. Decembre 2026 : revue annuelle, rapport au conseil municipal.

Mutualiser la conformite au niveau intercommunal : une opportunite strategique

L'AMF recommande aux communes de moins de 5 000 habitants de mutualiser la conformite EU AI Act au niveau de leur EPCI. Cette approche presente trois avantages majeurs.

Avantage 1 : economies d'echelle sur les couts

Une intercommunalite de 30 communes peut acquerir une licence MaConformite Entreprise multi-sites pour environ 4 200 EUR/an (forfait module collectivites en cours de finalisation), soit 140 EUR par an et par commune contre 2 364 EUR si chaque commune souscrit individuellement. Economie : 94 % du cout par commune.

Avantage 2 : pooling des competences

Un referent IA mutualise au niveau de l'EPCI peut former et accompagner les 30 communes plus efficacement qu'un DPO present 1 jour par semaine dans chaque commune. La concentration de l'expertise permet d'identifier plus rapidement les systemes communs entre communes (logiciel cantine identique, meme prestataire VSA, etc.) et de produire une documentation reutilisable.

Avantage 3 : poids dans la negociation avec les editeurs

Une intercommunalite negociant pour 30 communes a un poids commercial nettement superieur a une commune isolee. Pour les marches publics IA, cela permet d'imposer des clauses de conformite, des engagements de documentation Annexe IV, et des audits de conformite reguliers.

FAQ : EU AI Act et collectivites territoriales

Ma commune de moins de 1 000 habitants est-elle concernee par l'EU AI Act ?

Oui. L'EU AI Act ne prevoit aucune exemption fondee sur la taille de la collectivite. Une commune de 350 habitants utilisant un chatbot sur son site internet ou un algorithme de gestion des inscriptions a la cantine est juridiquement concernee. En pratique, la CNIL adoptera vraisemblablement une approche pedagogique pour les tres petites communes pendant les 12 premiers mois, mais l'obligation legale existe des le 2 aout 2026. Solution recommandee : mutualiser au niveau de l'intercommunalite pour beneficier de couts mutualises.

Le maire est-il personnellement responsable en cas de non-conformite EU AI Act ?

Oui en partie. La responsabilite premiere est celle de la collectivite en tant que personne morale (amende, mise en demeure publique). Mais le maire engage sa responsabilite penale personnelle s'il est demontre qu'il a sciemment ignore une mise en demeure CNIL ou autorise un deploiement IA en violation manifeste des obligations EU AI Act. Le delit serait qualifie au titre de l'article 432-1 du code penal (manquement a la probite) ou de l'article 226-22-1 (atteinte aux droits resultant des fichiers ou traitements informatiques).

Notre intercommunalite a deja un DPO mutualise. Suffit-il pour la conformite EU AI Act ?

Le DPO mutualise est un atout majeur, mais ses competences RGPD ne couvrent pas automatiquement l'EU AI Act. Le reglement IA introduit des concepts nouveaux (classification de risque, AIPD, documentation Annexe IV, supervision humaine continue) qui necessitent une formation specifique. La CNIL recommande que le DPO mutualise suive au moins 35 heures de formation specifique EU AI Act avant le 2 aout 2026. MaConformite inclut ce parcours de formation dans son forfait Entreprise.

Comment integrer les clauses EU AI Act dans nos marches publics existants ?

Pour les marches publics signes avant le 2 aout 2026, deux options : (a) avenant au marche pour ajouter les clauses EU AI Act, sous reserve d'accord du titulaire et dans la limite de 10 % du montant initial (article R2194-7 du code de la commande publique), (b) attendre le renouvellement et integrer les clauses dans le nouveau marche. Pour les marches en cours de notation, integrer les clauses EU AI Act des l'avis d'appel public a la concurrence est recommande. La DAJ de Bercy a publie en avril 2026 un modele de clauses-types reutilisables.

Que faire si notre prestataire IA refuse de fournir la documentation Annexe IV ?

Le refus du prestataire de fournir la documentation Annexe IV constitue un manquement contractuel et reglementaire. La collectivite a 3 options : (a) mettre en demeure le prestataire de fournir la documentation sous 30 jours en application de l'article 25 du reglement, (b) cesser l'usage du systeme jusqu'a fourniture de la documentation, (c) signaler le prestataire a la CNIL pour non-respect des obligations fournisseur. La 3e option est rare mais peut etre necessaire pour les petits prestataires non-cooperatifs. MaConformite inclut un service d'accompagnement aux negociations avec les prestataires recalcitrants.

Notre commune utilise les algorithmes Parcoursup et Affelnet pour l'orientation scolaire. Sommes-nous concernes ?

Non pour Parcoursup et Affelnet eux-memes. Ces algorithmes nationaux relevent de la responsabilite du Ministere de l'Education Nationale, qui doit assurer leur conformite EU AI Act. En revanche, si votre commune ou departement deploie ses propres algorithmes locaux d'orientation (par exemple pour les places en internat municipal, les bourses departementales, les voyages scolaires), ceux-ci sont sous votre responsabilite et doivent etre documentes selon les obligations EU AI Act haut risque.

Le cout de mise en conformite est-il finançable par la DETR, le FNADT ou le FCTVA ?

Oui pour la DETR (Dotation d'Equipement des Territoires Ruraux) sous certaines conditions : la mise en conformite EU AI Act peut etre financee dans le cadre des projets de "modernisation des services publics" (categorie 7 de la DETR 2026). Le FNADT (Fonds National d'Amenagement et de Developpement du Territoire) finance certains projets de mutualisation intercommunale. Le FCTVA n'est pas applicable car la conformite reglementaire n'est pas une depense d'equipement mais une depense de fonctionnement. La DGCL a publie en avril 2026 une circulaire confirmant l'eligibilite DETR des depenses de mise en conformite EU AI Act.

Conclusion : la conformite EU AI Act est une opportunite de modernisation pour les collectivites

L'EU AI Act represente un defi reel pour les 36 374 collectivites territoriales francaises, mais c'est aussi une opportunite de moderniser la gouvernance des outils numeriques publics. La conformite force les collectivites a inventorier leurs systemes IA (souvent invisible pour les elus), a clarifier la responsabilite entre la collectivite et ses prestataires, et a renforcer la transparence vis-a-vis des administres.

Pour les communes de moins de 10 000 habitants, la solution operationnelle realiste passe par la mutualisation au niveau intercommunal et le recours a des plateformes specialisees comme MaConformite. Le cout d'une mise en conformite mutualisee est environ 22 fois moins eleve qu'une approche commune par commune avec cabinet juridique externe. Plus important : la mutualisation permet de constituer une expertise locale durable qui beneficiera bien au-dela de la deadline du 2 aout 2026.

Le 2 aout 2026 est dans 92 jours. Si vous etes elu, secretaire de mairie, DPO mutualise ou DSI de collectivite, le diagnostic MaConformite gratuit en 3 minutes vous permettra d'identifier vos systemes haut risque, d'estimer le cout de mise en conformite et de prioriser vos actions d'ici la deadline : commencer le diagnostic. Vous recevrez par email un rapport personnalise avec le calendrier des obligations specifiques aux collectivites et les references aux financements DETR potentiellement mobilisables.