L'usage de l'intelligence artificielle générative dans les services publics pose un défi que je rencontre sans cesse dans mes lectures et mes échanges : comment tirer parti d'outils puissants pour améliorer l'efficience, l'accès et la qualité des services, tout en garantissant la protection des données, la transparence des décisions et la confiance citoyenne ? J'aborde ici des pistes concrètes pour encadrer ces usages — techniques, juridiques et organisationnelles — en gardant une perspective pragmatique et républicaine.
Pourquoi l'encadrement est indispensable
Les modèles génératifs (par exemple ceux développés par OpenAI, Google ou Microsoft) peuvent automatiser la rédaction de courriers, résumer des dossiers, aider au diagnostic administratif ou encore produire des réponses aux usagers. C'est tentant : gain de temps, économie de ressources, personnalisation. Mais ces systèmes comportent des risques réels :
fuite ou réutilisation de données sensibles,production d'informations inexactes ou biaisées,opacité des traitements algorithmique qui rend difficile l'explicabilité des décisions publiques,dépendance à des fournisseurs externes et risques de lock-in.Sans règles claires, l'adoption pourrait miner la confiance dans l'administration. À l'inverse, un encadrement bien conçu permettrait d'exploiter ces outils tout en respectant la sécurité, la transparence et les droits des citoyens.
Principes directeurs à inscrire dans la politique publique
J'en propose ici cinq, simples mais structurants :
Principe de proportionnalité : l'utilisation d'IA doit être proportionnée à l'enjeu du service. Pour une simple FAQ, un modèle public peut suffire ; pour une décision individuelle, on exige des garanties renforcées.Transparence et traçabilité : toute interaction impliquant une IA doit être identifiable pour l'usager (mention explicite) et traçable pour l'administration.Protection des données : minimisation, chiffrement, journalisation et limitation des transferts hors juridiction.Responsabilité humaine : une personne responsable doit pouvoir contester et corriger les résultats produits par l'IA.Auditabilité : les modèles et les processus doivent être audités régulièrement, par des organes indépendants.Mécanismes opérationnels : ce que les services publics peuvent mettre en place
Voici des mesures concrètes que j'estime essentielles :
Cartographie des usages : chaque administration doit inventorier où des modèles génératifs sont utilisés, quelles données ils consomment et quels impacts ils peuvent avoir.Analyse d'impact (DPIA) obligatoire : pour tout projet IA manipulant des données personnelles ou aboutissant à des décisions affectant des droits, une Data Protection Impact Assessment doit être conduite et publiée en version synthétique.Contrats et clauses types : lors d'appels d'offres ou de contrats avec des fournisseurs (ex. Microsoft Azure OpenAI, Google Cloud Vertex AI, etc.), inclure des clauses sur :la localisation des données (hébergement en UE ou sur serveurs souverains quand c'est critique),la non-réutilisation des données clients pour l'entraînement des modèles du fournisseur,les engagements de sécurité (chiffrement au repos et en transit, certifications ISO 27001),l'obligation de fournir des « model cards » et des logs d'accès pour les audits.Sandboxes régulatoires : créer des environnements contrôlés où tester des prototypes IA avec des données synthétiques ou anonymisées pour évaluer les risques avant déploiement à large échelle.Interfaces humaines obligatoires : pour toute décision à fort impact, conserver un contrôle humain effectif — par exemple un agent qui valide la recommandation générée avant notification au citoyen.Journalisation et conservation des preuves : enregistrer les prompts, les versions de modèles et les réponses fournies afin de reconstituer une décision en cas de contestation.Transparence pour les citoyens : comment l'afficher
La transparence ne doit pas être un simple label. Elle exige des outils accessibles :
afficher clairement, sur les portails et les formulaires, quand une réponse est produite ou assistée par une IA ;fournir une notice compréhensible expliquant les finalités, les données traitées et les voies de recours ;publier des rapports annuels sur les systèmes IA : typologies d'usage, nombre d'interactions, incidents, audits réalisés et mesures correctrices.Je pense utile un registre public des projets IA dans l'administration, consultable par tout citoyen — outil qui favoriserait le contrôle démocratique et la recherche indépendante.
Garantir la sécurité et la confidentialité des données
Sur la sécurité, je défends une stratégie en couches :
Minimisation des données : ne pas transmettre au modèle d'IA de données personnelles si une réponse peut être fournie sans.Anonymisation et pseudonymisation : systématiser ces techniques avant toute utilisation en développement ou entraînement.Hébergement sécurisé : privilégier l'hébergement sur des clouds certifiés en Europe ou sur des infrastructures publiques souveraines pour les données sensibles.Chiffrement et gestion des clés : chiffrement fort et gestion des clés indépendantes du fournisseur cloud.Plan de réponse aux incidents : documenté et exercé, incluant notification aux autorités et aux personnes concernées en cas de fuite.Gouvernance, certification et supervision
La gouvernance ne peut être uniquement interne. Je propose :
la création d'un « comité national IA pour les services publics » incluant représentants de l'État, CNIL, collectivités, experts indépendants et représentants des usagers ;des référentiels et labels de conformité (sécurité, transparence, non-discrimination) délivrés par des autorités indépendantes pour faciliter les achats publics ;la mise en place d'audits techniques réguliers, réalisés par des organismes accrédités, avec publication de synthèses non sensibles.Formation, culture et dialogue citoyen
Un encadrement technique ne suffit pas sans montée en compétence :
former massivement les agents publics aux enjeux de l'IA (risques, limites, bon usages) ;développer des référents IA dans chaque ministère et collectivité ;ouvrir des consultations publiques avant les déploiements à large échelle, pour prendre en compte les usages réels et les attentes des citoyens.Rapide tableau synthétique des mesures et acteurs impliqués
| Mesure | Acteurs impliqués |
| Cartographie des usages | Services, DSI, délégués à la protection des données |
| DPIA | DSI, DPO, CNIL |
| Clauses contractuelles | Directions juridiques, acheteurs publics |
| Sandboxes | Ministères pilotes, ANR, start-ups |
| Audits et labels | Organismes accrédités, CNIL, comité IA |
Il s'agit, pour moi, d'un cadre pragmatique à la fois protecteur et permissif : protéger les droits et la sécurité, tout en permettant l'innovation au service du public. Les outils existent — bonnes pratiques de sécurité, clauses contractuelles, DPIA, sandboxes — mais ils exigent une volonté politique, des moyens et un dialogue constant avec la société civile pour que les services publics restent à la fois efficaces, légitimes et dignes de confiance.
