AI Act et concertation · les questions que les DPO posent (et nos réponses)
Le règlement européen sur l'intelligence artificielle est entré en application progressivement depuis 2024. Côté collectivités, les délégués à la protection des données posent des questions précises avant de signer. Classification du risque, registre, traçabilité. Notre dossier de conformité, en clair.
Depuis le 1er août 2024, le règlement (UE) 2024/1689 dit AI Act produit ses premiers effets. Les interdictions visant les systèmes à risque inacceptable s'appliquent depuis février 2025. Les obligations sur les modèles d'IA à usage général sont entrées en vigueur en août 2025. Les obligations principales pesant sur les systèmes à haut risque (annexe III) deviendront applicables en août 2026.
Pour les collectivités qui déploient un outil numérique de concertation utilisant des composants d'IA · synthèse de contributions, classification automatique, modération de signalements · les DPO et services juridiques posent désormais quatre ou cinq questions précises avant de signer. On les a regroupées ici avec nos réponses, telles qu'on les présente lors des comités d'instruction.
Les questions qui reviennent
Le système Balisio est-il classé « à haut risque » au sens de l'annexe III de l'AI Act ?
Non. L'annexe III énumère huit domaines à haut risque, dont l'identification biométrique, l'éducation, l'emploi, l'accès aux services publics essentiels, l'application de la loi, la migration, l'administration de la justice et les processus démocratiques. La synthèse de contributions citoyennes dans le cadre d'une concertation publique n'est pas, à ce jour, classée à haut risque (la commission étudie une extension de l'annexe, à suivre). Néanmoins, par prudence et par cohérence avec l'esprit du règlement, nous appliquons à notre traitement les exigences de transparence et de traçabilité prévues pour les systèmes à haut risque.
Quel modèle d'IA utilisez-vous, où est-il hébergé, et que faites-vous des données ?
Mistral AI · modèle français hébergé en Europe. Aucun transit vers OpenAI, Anthropic ou Google. Les contributions citoyennes ne sont pas utilisées pour entraîner le modèle (clause contractuelle explicite avec Mistral). Les données sont traitées en mémoire, jamais persistées chez le fournisseur. L'hébergement de la plateforme est sur OVH, datacenter de Gravelines (Hauts-de-France), cible SecNumCloud 2027.
Comment garantissez-vous qu'aucune contribution n'est paraphrasée ou inventée par l'IA ?
Chaque citation dans le rapport est sourcée à une contribution identifiable, accessible en un clic. Le rapport ne contient aucune paraphrase générative · les regroupements par thème sont produits par le modèle, mais les citations sont des extraits littéraux. L'agent territorial peut, à tout moment, cliquer sur une citation pour voir la contribution d'origine. Cette traçabilité est documentée dans le journal d'audit du projet.
Le système prend-il des décisions automatisées au sens de l'article 22 du RGPD ?
Non. Le système classe les contributions par thème et produit une synthèse · il ne décide rien. Les décisions (publication, rejet, suite donnée) sont toujours prises par l'agent territorial habilité. La modération automatique pré-filtre les contenus inappropriés (injures, données personnelles) mais l'agent valide ou révise systématiquement les éléments retenus avant publication. Ce point est documenté dans notre AIPD (analyse d'impact relative à la protection des données).
Avez-vous une AIPD et acceptez-vous de la transmettre ?
Oui sur les deux points. L'AIPD couvre la collecte, la classification, la synthèse et l'archivage des contributions. Elle est mise à disposition sous NDA aux DPO de toute collectivité en instruction. Le registre des activités de traitement (article 30 RGPD) est tenu à jour et fait l'objet d'un audit annuel.
Trois exigences structurantes côté RGPD
Indépendamment de l'AI Act, trois principes RGPD restent au cœur des contrôles sur les outils de civic-tech.
- L'absence de profilage indu. Une plateforme de concertation ne doit pas catégoriser les habitants sur des caractéristiques sensibles (origine, opinion politique, état de santé). Notre classification porte sur le thème de la contribution, jamais sur un profil de l'auteur.
- La pseudonymisation des données conservées. Les adresses IP sont hachées (SHA-256 avec sel rotatif). Le contenu personnel détecté dans une contribution (noms, plaques d'immatriculation, numéros de téléphone) est filtré avant publication. Conservation 12 mois conformément à l'article 6 de la LCEN.
- L'information claire des contributeurs. Au moment de déposer un avis, l'habitant voit en clair · base légale, durée de conservation, droits RGPD (articles 15 à 22), coordonnées du DPO de la collectivité. Pas de bandeau de consentement enfoui en bas de page.
Pour les DPO qui veulent aller au fond
Notre dossier de conformité (AIPD, registre, certifications, schéma d'architecture, contrat de sous-traitance avec Mistral) est disponible sur demande, sous NDA. Il fait habituellement une trentaine de pages. Une lecture complète prend deux à trois heures, ou nous pouvons organiser un échange direct avec notre RSSI.
Ce qu'une collectivité peut raisonnablement attendre d'un éditeur civic-tech en 2026, au-delà des promesses de souveraineté, c'est une AIPD défendable, un schéma d'architecture auditable, et un contrat qui interdit explicitement l'usage des contributions pour entraîner un modèle tiers. C'est la posture que nous essayons de tenir, et que nous documentons publiquement sur la page Méthodologie IA.
Références · règlement (UE) 2024/1689 (AI Act) · article 22 du RGPD · article 6 de la LCEN · pour le détail de notre conformité, voir nos pages Méthodologie IA et Sécurité.
Cette analyse est éditée par Balisio. Elle ne contient pas de témoignages recueillis auprès de sources individuelles.