RGPD et IA pour collectivités : guide complet 2026

Vous voulez équiper votre mairie d'un chatbot ou d'un assistant IA en 2026 ? Voici ce que vous devez savoir pour rester conforme au RGPD, au Code de la sécurité intérieure et aux recommandations CNIL. Avec checklist actionnable pour votre DPO.

Le cadre juridique applicable en 2026

L'usage de l'intelligence artificielle dans une collectivité territoriale française est encadré par trois textes principaux qui s'appliquent en cascade :

Le RGPD (Règlement européen 2016/679) — protection des données à caractère personnel des administrés.
La Loi Informatique et Libertés modifiée 2018 — transposition française du RGPD, avec les pouvoirs de contrôle de la CNIL.
L'AI Act européen (Règlement 2024/1689) — applicable progressivement depuis février 2025, avec les obligations pour les IA à « haut risque » entrant en vigueur en août 2026.

À cela s'ajoutent les recommandations CNIL spécifiques aux collectivités (mises à jour en novembre 2025) et le référentiel d'archivage des associations de DPO de collectivités.

Les 7 obligations RGPD à respecter pour un chatbot mairie

1. Déterminer la base légale du traitement

Avant tout déploiement, votre DPO doit identifier sous quelle base légale (article 6 RGPD) votre chatbot collecte et traite les données :

Mission d'intérêt public (art. 6.1.e) — la plus appropriée pour une mairie. Couvre les démarches administratives, l'information citoyenne, le service public local.
Consentement (art. 6.1.a) — utile pour les fonctionnalités optionnelles (notifications email, campagnes citoyennes).
Obligation légale (art. 6.1.c) — pour les démarches obligatoires (recensement militaire, inscription électorale).

La base légale détermine ensuite les droits des personnes concernées : un traitement fondé sur le consentement permet le retrait à tout moment, contrairement à la mission d'intérêt public.

2. Inscrire le traitement au registre

Toute mairie doit tenir un registre des activités de traitement (art. 30 RGPD) — y compris si elle est exemptée du DPO mutualisé. Pour un chatbot IA, le registre doit préciser :

La finalité (ex : « répondre aux questions courantes des administrés 24h/24 »)
Les catégories de données collectées (ex : « questions textuelles, horodatage, adresse IP anonymisée »)
La durée de conservation (ex : « 12 mois, anonymisation au-delà »)
Les destinataires (ex : « éditeur Civik-ia, hébergeur OVH UE »)
Les transferts hors UE (à éviter, ou justifier si nécessaire)

3. Réaliser une AIPD si nécessaire

L'Analyse d'Impact relative à la Protection des Données (AIPD) est obligatoire dès lors que le traitement présente un « risque élevé » pour les droits et libertés des personnes (art. 35 RGPD). Pour un chatbot mairie classique (questions sur horaires, démarches), l'AIPD n'est généralement pas obligatoire, car aucune décision automatique impactante n'est prise et aucune donnée sensible n'est traitée systématiquement.

Elle devient obligatoire si le chatbot :

Traite des données de santé (ex : signalements liés à des handicaps)
Croise des données issues de plusieurs sources (ex : fichier électoral + cadastre + état civil)
Fait du profilage individuel (ex : recommandations personnalisées par administré)

4. Informer les citoyens (transparence)

L'article 13 RGPD impose une information claire et accessible aux personnes concernées. Concrètement, votre chatbot doit afficher (au minimum dans un lien type « Mentions RGPD ») :

L'identité du responsable de traitement (la mairie, pas l'éditeur)
Les coordonnées du DPO
Les finalités et la base légale
La durée de conservation
Les droits des personnes (accès, rectification, effacement, opposition, portabilité)
Le droit de réclamation auprès de la CNIL

5. Garantir les droits des personnes

Tout administré peut, à tout moment :

Demander la copie des questions qu'il a posées au chatbot (droit d'accès)
Demander leur suppression (droit à l'effacement)
S'opposer au traitement (sauf si mission d'intérêt public le justifie)

Pour faciliter ces demandes, prévoyez un point de contact unique (email DPO) et un délai de réponse maximum d'un mois (art. 12 RGPD).

6. Sécuriser les données (art. 32)

Mesures techniques et organisationnelles attendues :

Hébergement dans l'Union européenne (idéalement France ou Allemagne)
Chiffrement HTTPS obligatoire (TLS 1.3)
Authentification forte des agents municipaux (mot de passe complexe + idéalement 2FA)
Journaux d'accès traçables (qui a fait quoi, quand)
Sauvegardes chiffrées
Procédure de notification de violation sous 72h (art. 33)

7. Limiter la collecte au strict nécessaire (minimisation)

Un chatbot mairie ne doit jamais collecter :

Le nom, prénom, adresse exacte de l'administré (sauf si la démarche le requiert objectivement)
Le numéro de téléphone, sauf opt-in explicite pour rappel
Des données sensibles (religion, opinion politique, orientation sexuelle, santé)
Des informations sur des tiers (enfants, voisins, conjoint)

Le principe de zéro-friction citoyenne (pas de création de compte) protège mécaniquement la mairie : pas de données = pas de risque.

Les pièges spécifiques de l'IA générative

Attention — La plupart des chatbots IA grand public (ChatGPT, Claude, Gemini) ne sont pas conformes au RGPD pour un usage en collectivité française par défaut. Hébergement hors UE, finalités opaques, transferts internationaux non encadrés. L'utilisation directe d'OpenAI ou de Google sur les données citoyennes expose la mairie à une procédure CNIL.

Souveraineté technologique : le choix structurant

Trois familles d'IA générative coexistent en 2026 :

IA américaines (OpenAI GPT, Anthropic Claude, Google Gemini) — performantes mais soumises au Cloud Act et au FISA américain. À éviter pour les collectivités françaises.
IA chinoises (Qwen, DeepSeek) — hors-jeu pour le secteur public français.
IA souveraines européennes (Mistral AI principalement) — hébergées en France ou en UE, sous droit européen, sans transfert hors UE. C'est l'option à privilégier.

Civik-ia utilise Mistral AI via un proxy hébergé chez OVH, garantissant l'absence de transfert vers les États-Unis.

Le piège de la « réponse hallucinée »

Une IA générative peut inventer des informations fausses (numéros de Cerfa, articles de loi, montants) avec une apparente assurance. Pour une mairie, c'est un risque juridique majeur : un administré pourrait engager la responsabilité de la commune si une réponse fausse lui cause un préjudice.

Garde-fous obligatoires :

Toute réponse doit citer sa source (article de loi, numéro de Cerfa, document municipal)
Un disclaimer doit accompagner chaque réponse à caractère juridique (ex : « Information indicative — l'agent municipal valide votre dossier »)
Le chatbot doit pouvoir dire « je ne sais pas » plutôt que d'inventer
Un système de RAG (Retrieval Augmented Generation) doit ancrer les réponses dans la base documentaire de la commune

Checklist RGPD pour votre DPO

Avant le déploiement

Identifier la base légale du traitement (mission d'intérêt public en général)
Inscrire le traitement au registre des activités
Évaluer si une AIPD est nécessaire (rare pour un chatbot mairie standard)
Rédiger les mentions RGPD à afficher (mentions légales du chatbot)
Vérifier le contrat de sous-traitance avec l'éditeur (clauses art. 28 RGPD)
Vérifier le pays d'hébergement (UE obligatoire)
Vérifier la conformité de l'IA générative utilisée (souveraineté)

Pendant l'exploitation

Mettre à disposition un point de contact unique pour les droits des personnes
Répondre aux demandes d'accès / effacement sous 30 jours maximum
Tenir à jour le journal des incidents
Réaliser un audit annuel de conformité

Documents à conserver

Fiche du registre des activités de traitement
AIPD si réalisée
Mentions RGPD publiées
Contrat de sous-traitance signé avec l'éditeur
Certificats d'hébergement (ex : attestation OVH SecNumCloud si applicable)
Journal des demandes d'exercice de droits

Comment Civik-ia répond à ces obligations

Civik-ia a conçu sa plateforme avec le RGPD comme contrainte de design dès l'origine :

Zéro friction citoyenne — aucun compte ni inscription requis pour utiliser Marianne. Aucune donnée nominative collectée par défaut.
Ciblage par auto-sélection — pour les campagnes citoyennes, le citoyen se reconnaît dans un libellé (« À l'attention du quartier X ») sans fichier nominatif.
Hébergement OVH UE — tous les traitements ont lieu sur des serveurs européens, sous droit français.
IA souveraine Mistral AI — modèle français hébergé via proxy OVH, zéro transfert vers les États-Unis ou la Chine.
Soft-delete avec durées légales — 5 ans pour les signalements, 3 ans pour les démarches, 1 an pour les chats anonymisés.
Export CSV mensuel — la mairie reçoit la preuve de traitement pour son archivage RGPD.
Disclaimer juridique automatique — chaque réponse sur une démarche se termine par « Information indicative — l'agent municipal valide votre dossier ».

À retenir — Le RGPD n'est pas un frein à l'IA en collectivité, c'est un cadre qui structure la confiance. Un chatbot mairie conforme dès la conception (privacy by design) protège à la fois les administrés et la responsabilité juridique de la commune.

Pour aller plus loin

Recommandations CNIL sur l'intelligence artificielle
Comparatif chatbot mairie 2026 — quelle solution choisir
Guide complet du chatbot mairie — fonctionnement et ROI
Politique RGPD de Civik-ia — notre approche détaillée

Une solution RGPD-native, conçue pour les mairies françaises

Marianne, l'assistante Civik-ia, fonctionne sans inscription citoyenne, sans transfert hors UE, sans collecte nominative. Conforme dès la conception.

Tester la démo →