EU AI Act et communes : qu'est-ce qui doit déjà être en ordre aujourd'hui ?
Les pouvoirs locaux utilisent de plus en plus l'IA : chatbots pour les questions des citoyens, aide à la décision pour les permis, détection de fraude sur les allocations, fonctions d'IA dans Microsoft 365. Une partie de ces usages peut relever de la catégorie à haut risque de l'EU AI Act, une autre partie non. En parallèle, l'obligation de l'article 4 s'applique à tout usage d'IA par les collaborateurs : une littératie en IA suffisante. Pour les communes, c'est aujourd'hui là que se situe le centre de gravité.

Mise à jour du 1 juillet 2026. Le Digital Omnibus on AI a été adopté par le Parlement européen (16 juin 2026) et le Conseil (29 juin 2026) et attend encore sa publication au Journal officiel de l'UE, attendue en juillet 2026. Jusqu'à cette publication, le texte initial de l'AI Act reste formellement le point de départ juridique. Par l'effet de l'Omnibus, les dates d'application pour l'IA à haut risque sont reportées au 2 décembre 2027 (systèmes autonomes relevant de l'Annexe III) et au 2 août 2028 (IA intégrée aux produits réglementés). L'obligation de littératie en IA de l'article 4 continue de s'appliquer depuis le 2 février 2025 ; l'Omnibus en reformule toutefois légèrement le libellé (voir ci-dessous).
Pourquoi les communes diffèrent des autres organisations
Pour la plupart des organisations, l'EU AI Act tourne avant tout autour de l'article 4, l'obligation relative à la littératie en IA des collaborateurs ; ce que prescrit l'article 4 de l'EU AI Act, nous le détaillons ailleurs.
Pour les communes, la situation est différente. Les pouvoirs locaux prennent des décisions qui concernent des citoyens : allocations, permis, services sociaux, application de la loi. Dès que l'IA intervient dans cette prise de décision, il faut évaluer, usage par usage, si l'application relève de l'Annexe III du règlement. Pour l'aide publique, les services essentiels, l'application de la loi et les procédures migratoires ou d'asile, la probabilité d'une classification à haut risque est significative.
Ce n'est pas une question d'interprétation. L'Annexe III énumère explicitement les usages à haut risque, parmi lesquels : l'IA dans l'accès aux services publics essentiels, l'IA dans l'évaluation ou l'octroi de l'aide publique, l'IA dans l'application de la loi, l'IA dans les procédures migratoires et d'asile. Les communes touchent à tous ces domaines dans leur pratique quotidienne.
Ce que les pouvoirs locaux sous-estiment souvent
Dans les échanges avec des secrétaires communaux et des coordinateurs IT, le même schéma revient : on sait que l'EU AI Act existe, mais on sous-estime l'étendue de la notion de "système d'IA". La loi ne vise pas uniquement les usages spectaculaires comme la reconnaissance faciale ou la police prédictive. Elle vise aussi des outils quotidiens, avec des niveaux de risque très différents :
Chacun de ces exemples fait de la commune un déployeur d'un système d'IA. Pour tous les cas, l'obligation de l'article 4 s'applique. Pour les usages qui s'avèrent relever de l'Annexe III, les obligations spécifiques au haut risque viennent s'y ajouter.
Ce qui est déjà obligatoire aujourd'hui, ce qui reste à venir
Déjà en vigueur. L'article 4 sur la littératie en IA s'applique depuis le 2 février 2025. Les fournisseurs et les déployeurs de systèmes d'IA doivent prendre des mesures qui soutiennent la littératie en IA de leurs collaborateurs et des personnes qui agissent en leur nom, adaptées au rôle, à l'expérience et au contexte d'usage. L'Omnibus précise qu'il s'agit d'une obligation de moyens : vous n'avez pas à garantir un niveau spécifique par personne, mais bien à prendre des mesures démontrables. Pour les communes, c'est aujourd'hui l'obligation la plus concrète.
Le 2 décembre 2026. Le Digital Omnibus ajoute une nouvelle obligation : une interdiction des systèmes d'IA de nudification et de l'IA capable de générer du matériel d'abus sur enfants. Pertinent pour la politique d'achat IT et pour ce qui figurera dans l'inventaire des outils d'IA de la commune.
Le 2 décembre 2027. Les obligations à haut risque pour les systèmes d'IA autonomes relevant de l'Annexe III ne deviendront opposables qu'à cette date. À l'origine, le règlement 2024/1689 prévoyait le 2 août 2026 ; cette date reste formellement valable jusqu'à la publication du Digital Omnibus au Journal officiel de l'UE, attendue en juillet 2026.
Le 2 août 2028. À cette date, les obligations à haut risque pour les systèmes d'IA intégrés à des produits réglementés deviendront applicables.
Le délai supplémentaire n'est pas un blanc-seing. Pour les systèmes qui seront classés à haut risque, l'obligation d'évaluation de conformité revient en premier lieu au fournisseur. Pour la commune, en tant que déployeur, l'enjeu est différent : utiliser le système conformément aux instructions, organiser une surveillance humaine assurée par des personnes formées, garder la maîtrise des données d'entrée, monitorer l'usage, signaler les incidents graves, conserver les journaux, vérifier l'enregistrement auprès de l'autorité compétente, informer les personnes concernées lorsque la loi l'exige, et coopérer avec les autorités de contrôle.
Qui exerce le contrôle, quels droits obtiennent les citoyens
En Belgique et aux Pays-Bas, le contrôle s'organise via des autorités nationales et sectorielles. Pour les pouvoirs locaux, le contrôle de la vie privée, le contrôle sectoriel et la surveillance du marché se recouperont dans la pratique. En Belgique, la liste des autorités compétentes en matière de droits fondamentaux au titre de l'article 77 est désormais publiée ; il s'agit de plusieurs instances désignées. Le SPF Économie y joue un rôle de point de publication et de coordination officiel, sans être l'unique autorité de contrôle. La structure de contrôle plus large (surveillance du marché, autorités nationales compétentes) est encore en cours de mise en place. Aux Pays-Bas, la désignation passe encore par une loi de mise en œuvre entrée en consultation le 20 avril 2026 ; les autorités de surveillance du marché concernées ne sont pas encore désignées de façon définitive.
Pour les citoyens, l'article 86 ouvre un droit à une explication claire et significative sur le rôle qu'un système d'IA a joué dans une décision ayant un effet juridique ou un effet significativement comparable défavorable. Par ailleurs, en présence d'IA à haut risque, les communes doivent organiser une surveillance humaine et maintenir en ordre leurs procédures existantes de réclamation et de recours. Les plaintes ne manqueront pas.
Les quatre rôles à former de manière différenciée dans chaque commune
Une seule formation générique pour tous les agents ne suffit pas au regard de l'article 4, et certainement pas pour les communes qui vont travailler avec de l'IA à haut risque. La loi exige que le niveau de formation corresponde au rôle. En pratique, quatre groupes appellent chacun une approche propre :
Une commune qui n'adresse pas ces quatre rôles séparément pourra difficilement démontrer, lors d'un audit, que l'obligation de l'article 4 a été prise au sérieux.
Ce que vous pouvez faire de manière réaliste
Le report des dates à haut risque vers 2027 et 2028 change quelque chose à la pression temporelle, pas à la mission. L'obligation de l'article 4 s'applique déjà, et le délai jusqu'au 2 décembre 2027 est précisément ce qu'il faut à une commune pour franchir les étapes du haut risque avec soin plutôt que dans la précipitation.
Dans les mois qui viennent :
Seconde moitié de 2026 :
En 2027 :
Ce que cela apporte à votre commune
Il est tentant de voir l'EU AI Act comme une nouvelle couche de conformité, une obligation supplémentaire qui vient s'ajouter au RGPD, à NIS2 et aux autres obligations sectorielles. Pour les communes, il y a un second versant. Une commune qui maîtrise son usage de l'IA prend de meilleures décisions, protège les citoyens contre des décisions injustifiées, et construit la confiance d'une population de plus en plus critique vis-à-vis de l'administration algorithmique. Ce n'est pas un luxe, c'est la légitimité de base des pouvoirs locaux en 2026 et au-delà.
Chez AIAdopt, nous avons aligné le Pack de base et l'extension sectorielle Services publics (M3-PD) sur la réalité des pouvoirs locaux belges et néerlandais. Chaque formation se conclut par un test certifiant indiquant les articles de l'AI Act couverts, précisément la preuve qu'une autorité de contrôle demandera.
Vous voulez savoir où en est votre organisation ?
Téléchargez notre checklist de conformité gratuite à l'EU AI Act ou découvrez nos formations en littératie en IA.