L’intelligence artificielle entre dans les logiciels métiers, les services en ligne, les outils RH et les dispositifs d’aide à la décision. Dans les collectivités, cette progression change le travail du délégué à la protection des données. Jusqu’ici, le DPO vérifiait surtout les traitements, les durées de conservation, les droits des administrés et la sécurité des fichiers. Désormais, il doit aussi comprendre les risques liés aux algorithmes, aux données d’entraînement et aux usages internes de l’IA.
Cette évolution ne concerne pas seulement les grandes villes. Une commune, une intercommunalité, un département ou une région peuvent utiliser des solutions intégrant de l’IA sans toujours l’identifier clairement. Par exemple, un logiciel peut classer des demandes, analyser des documents, traduire des contenus, aider à rédiger une réponse ou détecter des anomalies. En pratique, le sujet dépasse donc la seule direction informatique. Il touche aussi les services juridiques, les ressources humaines, les achats publics, l’état civil, la communication et l’action sociale.
Un métier déjà obligatoire dans les collectivités

Depuis l’application du RGPD, les autorités publiques et les organismes publics doivent désigner un DPO. La CNIL rappelle ce cadre et accompagne les organismes dans la mise en conformité. Ce rôle reste essentiel dans les collectivités, car les services locaux manipulent souvent des données sensibles : état civil, aides sociales, santé, enfance, scolarité, vidéoprotection, stationnement ou relation usager.
Toutefois, l’IA ajoute une couche de complexité. Le DPO ne se limite plus à contrôler un fichier ou un formulaire. Il doit évaluer la finalité du traitement, la qualité des données utilisées, la transparence vis-à-vis des personnes et les risques d’erreur. Par ailleurs, il doit vérifier si un outil automatise une décision ou s’il assiste simplement un agent. Cette distinction compte, car elle change le niveau de vigilance attendu.
Pourquoi l’IA oblige les collectivités à mieux documenter leurs choix

Les collectivités cherchent souvent à gagner du temps. Elles veulent trier plus vite les demandes, améliorer les réponses aux administrés ou simplifier certaines tâches répétitives. Ces objectifs peuvent être légitimes. En revanche, l’usage de l’IA exige une documentation claire. Qui fournit l’outil ? Quelles données entrent dans le système ? Les informations servent-elles à entraîner un modèle ? L’éditeur conserve-t-il les données ? Les agents peuvent-ils vérifier le résultat ?
Ces questions deviennent centrales dans les achats publics. Avant de retenir une solution numérique, l’acheteur doit demander des garanties précises. À ce titre, le DPO peut intervenir dès la phase de sourcing, avec le service commande publique et le responsable de la sécurité informatique. Cette méthode rejoint les bonnes pratiques déjà évoquées sur le Bulletin des Communes dans l’article Comment les acheteurs publics peuvent sécuriser leur sourcing avant le lancement d’un marché. Elle permet d’éviter un achat séduisant sur le papier, mais risqué dans son fonctionnement réel.
Des risques concrets pour les services publics locaux
Un outil d’IA mal encadré peut produire plusieurs effets négatifs. Il peut générer une réponse erronée à un administré, classer une demande de façon injustifiée ou reproduire des biais présents dans les données. Il peut aussi exposer des informations confidentielles si les agents copient des documents sensibles dans un service en ligne non maîtrisé.
En conséquence, les collectivités doivent poser des règles internes simples. Les agents doivent savoir quels outils ils peuvent utiliser, quelles données ils peuvent saisir et quels usages restent interdits. De plus, chaque service doit comprendre que l’IA ne remplace pas la responsabilité humaine. Un agent ou un élu doit pouvoir expliquer une décision, surtout lorsqu’elle concerne un droit, une aide, une inscription ou une situation personnelle.
La CNIL consacre déjà des ressources à l’intelligence artificielle et insiste sur le respect du RGPD dans les projets d’IA. Pour les collectivités, cette approche impose une règle de prudence : ne pas attendre un incident pour formaliser une doctrine. Mieux vaut établir une cartographie des usages, identifier les traitements sensibles et mettre à jour les registres avant la généralisation des outils.
Un rôle plus stratégique pour le DPO

Le DPO devient donc un acteur plus stratégique. Il ne doit pas bloquer l’innovation par principe. Au contraire, il aide la collectivité à avancer dans un cadre maîtrisé. Pour y parvenir, il doit travailler avec les directions métiers, les élus, les acheteurs, les informaticiens et parfois les prestataires. Cette coopération évite les décisions isolées et limite les angles morts.
En complément, les collectivités ont intérêt à former les agents. Une courte sensibilisation peut déjà réduire les risques. Elle doit expliquer les bons réflexes : ne pas saisir de données personnelles dans un outil non autorisé, vérifier les réponses produites, signaler les usages nouveaux et conserver une trace des arbitrages. Ainsi, le DPO ne porte pas seul la conformité. Il anime une culture commune de la donnée.
Ce que les communes doivent faire maintenant
Plusieurs actions peuvent être engagées sans attendre. D’abord, la collectivité peut recenser les outils qui utilisent déjà de l’IA. Ensuite, elle peut vérifier les contrats et les conditions d’utilisation. Elle peut aussi prévoir une clause spécifique dans ses futurs marchés numériques. Enfin, elle doit associer le DPO dès le début des projets, et non au moment de la validation finale.
Cette anticipation devient d’autant plus importante que les usages progressent vite. Les collectivités qui structurent leur méthode gagneront du temps. Elles protégeront mieux les administrés et sécuriseront leurs choix techniques. Surtout, elles éviteront de transformer un outil présenté comme pratique en source de risque juridique, organisationnel ou politique.
