Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Secteur Public3 février 202511 min de lecture

IA dans le secteur public français : entre ambition numérique et contraintes souveraines

L'État, les collectivités territoriales, les hôpitaux publics et les établissements d'enseignement font face à une pression croissante pour moderniser leurs services grâce à l'IA. Mais le secteur public est soumis à des contraintes que le privé ne connaît pas : règles de la commande publique, obligations de souveraineté numérique, contraintes budgétaires, et exigences d'explicabilité renforcées. Comment déployer l'IA dans ce contexte spécifique ?

Ce qu'il faut retenir

  • La circulaire de 2023 sur la souveraineté numérique de l'État impose SecNumCloud pour les données sensibles des administrations
  • Les OIV (Opérateurs d'Importance Vitale) — hôpitaux, réseaux d'eau, énergie — ont des obligations NIS 2 renforcées
  • L'EU AI Act classe les IA utilisées pour décisions administratives comme "haut risque" → obligations d'explicabilité et d'audit
  • Des solutions open-source souveraines permettent de respecter toutes ces contraintes

L'IA dans l'État français : l'ambition politique

La France a affiché des ambitions claires sur la transformation numérique de l'État. Le programme "Action Publique 2022" puis "France 2030" incluent des objectifs d'utilisation de l'IA pour améliorer les services publics : automatisation des tâches administratives répétitives, assistance aux agents, amélioration de l'accueil des citoyens, analyse de données massives pour les politiques publiques.

La DINUM (Direction Interministérielle du Numérique) a publié en 2024 un guide sur l'IA dans l'État, et plusieurs ministères ont lancé des expérimentations : Pôle Emploi (maintenant France Travail) avec des chatbots IA, les tribunaux avec des outils d'aide à la décision, l'administration fiscale avec des systèmes de détection de fraude.

500 M€Budget numérique public France 2023-2027
34%Des collectivités en projet IA en 2024
220+OIV en France soumis aux obligations NIS 2
2026Date d'application EU AI Act pour systèmes haut risque

Les contraintes spécifiques du secteur public

1. Règles de la commande publique

Tout achat de service ou logiciel au-delà des seuils européens (~ 139 000 € pour les fournitures et services d'État) doit passer par un appel d'offres. Cela implique des délais importants et des critères de sélection formalisés. La souveraineté numérique peut et doit être intégrée comme critère de sélection — et le devient progressivement dans les marchés publics numériques.

La qualification SecNumCloud peut être exigée comme critère obligatoire dans les marchés publics. Plusieurs directions ministérielles l'incluent déjà systématiquement pour les marchés cloud.

2. Obligation de continuité de service

Un service public ne peut pas "tomber en panne" comme une startup. La disponibilité, la résilience, et la capacité à fonctionner en mode dégradé sont des exigences incontournables. Les solutions d'IA for-public sector doivent offrir des SLA robustes et des plans de continuité documentés.

3. Explicabilité des décisions automatisées

Le Code des relations entre le public et l'administration (article L.311-3-1) impose la transparence sur les algorithmes utilisés pour prendre des décisions administratives. Toute décision individuelle prise ou assistée par un algorithme doit pouvoir être expliquée. Pour l'IA générative, cela implique des exigences de traçabilité et d'auditabilité que les LLM américains ne fournissent pas nativement.

4. Protection des données des citoyens

Les données que l'administration traite — données fiscales, sociales, de santé, d'identité — sont parmi les plus sensibles qui soient. Leur traitement via des LLM américains est problématique à plusieurs titres : RGPD, Cloud Act, et tout simplement confiance du citoyen envers ses services publics.

Les OIV et OSE : obligations NIS 2 renforcées

Les Opérateurs d'Importance Vitale (OIV) — hôpitaux pivot, opérateurs d'énergie, de transport, de télécom — ont des obligations de cybersécurité très renforcées. La directive NIS 2, transposée en France en 2024, ajoute les Opérateurs de Services Essentiels (OSE) à cette liste, couvrant un périmètre plus large.

Pour ces entités, l'IA ne peut pas être déployée sur n'importe quelle infrastructure. Les exigences incluent :

  • Hébergement souverain (SecNumCloud recommandé, parfois obligatoire)
  • Plan de reprise d'activité (PRA) et plan de continuité d'activité (PCA) documentés
  • Audits de sécurité réguliers par des auditeurs qualifiés PASSI (ANSSI)
  • Notification obligatoire des incidents de sécurité à l'ANSSI

EU AI Act et secteur public : le haut risque par défaut

L'EU AI Act classe systématiquement dans la catégorie "haut risque" les systèmes d'IA utilisés pour :

  • L'évaluation des personnes pour l'accès aux services publics (aides sociales, logement, etc.)
  • L'évaluation des risques dans la justice pénale
  • Le contrôle des flux migratoires et de l'asile
  • L'administration de la justice et l'aide à la décision judiciaire
  • La gestion des infrastructures critiques

Ces systèmes requièrent : évaluation de conformité avant déploiement, registre de transparence, supervision humaine obligatoire, et enregistrement dans la base de données européenne des IA à haut risque.

Cas d'usage IA dans le secteur public français

Collectivités territoriales

  • Chatbots pour accueil citoyen et orientation dans les services
  • Analyse des demandes d'urbanisme (permis de construire)
  • Prédiction des besoins de maintenance des infrastructures
  • Optimisation de la gestion des déchets et de l'énergie

Hôpitaux et établissements de santé publics

  • Aide au codage PMSI (Programme de Médicalisation des Systèmes d'Information)
  • Résumé de dossiers patients pour les médecins
  • Gestion des plannings et des lits
  • Analyse d'imagerie médicale (radios, IRM)

Pour les hôpitaux, toute IA touchant aux données patients doit être déployée sur infrastructure certifiée HDS.

Justice et administration fiscale

  • Aide à la recherche jurisprudentielle
  • Détection de fraude fiscale et sociale
  • Génération de courriers administratifs standards

L'IA de défense : un cas à part

Les systèmes d'IA pour la défense nationale (Armée, DGA, DGSE) sont soumis à des règles encore plus strictes. Seuls des systèmes développés et hébergés par des entreprises françaises avec habilitation de sécurité peuvent intervenir sur des données classifiées Défense. Les LLM américains sont totalement exclus.

Comment procéder pour déployer l'IA dans le secteur public

  1. Définir le niveau de sensibilité des données traitées par l'IA (public, sensible, réservé, secret)
  2. Identifier les obligations applicables : NIS 2, EU AI Act, HDS, commande publique
  3. Choisir une infrastructure certifiée : SecNumCloud pour les données sensibles, HDS pour les données de santé
  4. Rédiger le cahier des charges avec les critères de souveraineté explicitement formulés
  5. Conduire une AIPD (Analyse d'Impact relative à la Protection des Données) avant déploiement
  6. Prévoir la supervision humaine pour toute décision affectant les citoyens

IA souveraine pour le secteur public

Intelligence Privée accompagne les entités publiques dans le déploiement d'IA souveraine — infrastructure SecNumCloud/HDS, conformité EU AI Act, explicabilité documentée.

Parler à un expert →

Articles liés

Certifications

SecNumCloud, HDS, ISO 27001

Quelles certifications pour votre infrastructure IA ?
Réglementation

EU AI Act : obligations 2026

Les nouvelles obligations pour les systèmes IA à haut risque.
Souveraineté

Souveraineté numérique France

La stratégie française d'indépendance numérique.