EU AI Act et communes : qu'est-ce qui doit déjà être en ordre aujourd'hui ?
Les pouvoirs locaux utilisent de plus en plus l'IA : chatbots pour les questions des citoyens, aide à la décision pour les permis, détection de fraude sur les allocations, fonctions d'IA dans Microsoft 365. Une partie de ces usages peut relever de la catégorie à haut risque de l'EU AI Act, une autre partie non. En parallèle, l'obligation de l'article 4 s'applique à tout usage d'IA par les collaborateurs : une littératie en IA suffisante. Pour les communes, c'est aujourd'hui là que se situe le centre de gravité.
Mise à jour du 18 mai 2026. Cet article a été révisé suite à l'accord politique sur le Digital Omnibus on AI du 7 mai 2026. Les dates d'application pour l'IA à haut risque sont reportées au 2 décembre 2027 (systèmes autonomes) et au 2 août 2028 (IA intégrée aux produits). L'obligation de littératie en IA prévue à l'article 4 reste inchangée et s'applique depuis le 2 février 2025.
Pourquoi les communes diffèrent des autres organisations
Pour la plupart des organisations, l'EU AI Act tourne avant tout autour de l'article 4, l'obligation de rendre les collaborateurs littérés en IA ; ce que prescrit l'article 4 de l'EU AI Act, nous le détaillons ailleurs.
Pour les communes, la situation est différente. Les pouvoirs locaux prennent des décisions qui concernent des citoyens : allocations, permis, services sociaux, application de la loi. Dès que l'IA intervient dans cette prise de décision, il faut évaluer, usage par usage, si l'application relève de l'Annexe III du règlement. Pour l'aide publique, les services essentiels, l'application de la loi et les procédures migratoires ou d'asile, la probabilité d'une classification à haut risque est significative.
Ce n'est pas une question d'interprétation. L'Annexe III énumère explicitement les usages à haut risque, parmi lesquels : l'IA dans l'accès aux services publics essentiels, l'IA dans l'évaluation ou l'octroi de l'aide publique, l'IA dans l'application de la loi, l'IA dans les procédures migratoires et d'asile. Les communes touchent à tous ces domaines dans leur pratique quotidienne.
Ce que les pouvoirs locaux sous-estiment souvent
Dans les échanges avec des secrétaires communaux et des coordinateurs IT, le même schéma revient : on sait que l'EU AI Act existe, mais on sous-estime l'étendue de la notion de "système d'IA". La loi ne vise pas uniquement les usages spectaculaires comme la reconnaissance faciale ou la police prédictive. Elle vise aussi des outils quotidiens, avec des niveaux de risque très différents :
Chacun de ces exemples fait de la commune un déployeur d'un système d'IA. Pour tous les cas, l'obligation de l'article 4 s'applique. Pour les usages qui s'avèrent relever de l'Annexe III, les obligations spécifiques au haut risque viennent s'y ajouter.
Ce qui est déjà obligatoire aujourd'hui, ce qui reste à venir
Déjà en vigueur. L'article 4 sur la littératie en IA s'applique depuis le 2 février 2025. Les fournisseurs et les déployeurs de systèmes d'IA doivent prendre les mesures nécessaires pour garantir, dans la mesure du possible, que leurs collaborateurs et les personnes qui agissent en leur nom disposent d'une littératie en IA suffisante, adaptée au rôle, à l'expérience et au contexte d'usage. Pour les communes, c'est aujourd'hui l'obligation la plus concrète.
Le 2 décembre 2026. L'accord politique sur le Digital Omnibus ajoute une nouvelle obligation : une interdiction des systèmes d'IA de nudification et de l'IA capable de générer du matériel d'abus sur enfants. Pertinent pour la politique d'achat IT et pour ce qui figurera dans l'inventaire des outils d'IA de la commune.
Le 2 décembre 2027. Selon l'accord politique du 7 mai 2026, les obligations à haut risque pour les systèmes d'IA autonomes relevant de l'Annexe III ne deviendront opposables qu'à cette date. À l'origine, le règlement 2024/1689 prévoyait le 2 août 2026 ; cette date reste formellement valable jusqu'à la publication du Digital Omnibus au Journal officiel de l'UE, attendue durant l'été 2026.
Le 2 août 2028. À cette date, les obligations à haut risque pour les systèmes d'IA intégrés à des produits deviendront applicables, également selon l'accord politique.
Le délai supplémentaire n'est pas un blanc-seing. Pour les systèmes qui seront classés à haut risque, l'obligation d'évaluation de conformité du fournisseur revient en premier lieu au fournisseur lui-même. Pour la commune, en tant que déployeur, l'enjeu est différent : utiliser le système conformément aux instructions, organiser une surveillance humaine assurée par des personnes formées, garder la maîtrise des données d'entrée, monitorer l'usage, signaler les incidents graves, conserver les journaux, vérifier l'enregistrement auprès de l'autorité compétente, informer les personnes concernées lorsque la loi l'exige, et coopérer avec les autorités de contrôle.
Qui exerce le contrôle, quels droits obtiennent les citoyens
En Belgique et aux Pays-Bas, le contrôle s'organise via des autorités nationales et sectorielles. Pour les pouvoirs locaux, le contrôle de la vie privée, le contrôle sectoriel et la surveillance du marché se recouperont dans la pratique. En Belgique, le SPF Économie a reçu un rôle de coordination autour des autorités compétentes en matière de droits fondamentaux au titre de l'article 77 ; la structure définitive est en cours de mise en place.
Pour les citoyens, l'article 86 ouvre un droit à une explication claire et significative sur le rôle qu'un système d'IA a joué dans une décision ayant un effet juridique ou un effet significativement comparable défavorable. Par ailleurs, en présence d'IA à haut risque, les communes doivent organiser une surveillance humaine et maintenir en ordre leurs procédures existantes de réclamation et de recours. Les plaintes ne manqueront pas.
Les quatre rôles à former de manière différenciée dans chaque commune
Une seule formation générique pour tous les agents ne satisfait pas à l'article 4, et certainement pas pour les communes qui vont travailler avec de l'IA à haut risque. La loi exige que le niveau de formation corresponde au rôle. En pratique, quatre groupes appellent chacun une approche propre :
Une commune qui n'adresse pas ces quatre rôles séparément ne pourra pas démontrer, lors d'un audit, que l'obligation de l'article 4 a été prise au sérieux.
Ce que vous pouvez faire de manière réaliste
Le report des dates à haut risque vers 2027 et 2028 change quelque chose à la pression temporelle, pas à la mission. L'obligation de l'article 4 s'applique déjà, et le délai jusqu'au 2 décembre 2027 est précisément ce qu'il faut à une commune pour franchir les étapes du haut risque avec soin plutôt que dans la précipitation.
Dans les mois qui viennent :
Seconde moitié de 2026 :
En 2027 :
Ce que cela apporte à votre commune
Il est tentant de voir l'EU AI Act comme une nouvelle couche de conformité, une obligation supplémentaire qui vient s'ajouter au RGPD, à NIS2 et aux autres obligations sectorielles. Pour les communes, il y a un second versant. Une commune qui maîtrise son usage de l'IA prend de meilleures décisions, protège les citoyens contre des décisions injustifiées, et construit la confiance d'une population de plus en plus critique vis-à-vis de l'administration algorithmique. Ce n'est pas un luxe, c'est la légitimité de base des pouvoirs locaux en 2026 et au-delà.
Chez AIAdopt, nous avons aligné le Pack de base et l'extension sectorielle Services publics (M3-PD) sur la réalité des pouvoirs locaux belges et néerlandais. Chaque formation se conclut par un test certifiant indiquant les articles de l'AI Act couverts, précisément la preuve qu'une autorité de contrôle demandera.
Vous voulez savoir où en est votre organisation ?
Téléchargez notre checklist de conformité gratuite à l'EU AI Act ou découvrez nos formations en littératie en IA.