Plus d’un agent public sur deux utiliserait déjà ChatGPT ou un outil équivalent dans le cadre professionnel, selon une enquête citée par Avanoo. Pour les collectivités territoriales, cet usage non supervisé de l’IA générative ajoute une couche de risque à des systèmes d’information déjà exposés aux cyberattaques.
Utilisation de l’IA dans les collectivités locales
Le sujet prioritaire pour les DSI des collectivités n’est pas l’adoption de l’intelligence artificielle générative en elle-même, mais l’absence de cadre opérationnel autour des usages déjà installés. D’après la tribune d’Avanoo, plus d’un agent public sur deux parmi 2 000 agents interrogés dans neuf administrations déclare utiliser ChatGPT ou un outil comparable dans son travail. Dans 80 % des cas, ces agents souhaiteraient intensifier ces usages. Cette dynamique crée un décalage entre les pratiques de terrain et la capacité des collectivités à contrôler les données transmises à des services externes.
Les usages cités relèvent souvent de tâches administratives courantes : reformulation de notes, traduction de courriers d’usagers, aide à la rédaction de documents ou structuration de brouillons. Pour les directions métier, ces pratiques répondent à des besoins de productivité et de simplification. Pour les DSI et RSSI, elles soulèvent des questions de confidentialité, de conformité et de maîtrise contractuelle. Un document RH, un projet d’arrêté, un compte rendu ou une donnée d’usager peuvent être copiés dans un outil d’IA grand public sans validation préalable, sans journalisation centralisée et sans garantie claire sur le traitement ultérieur de l’information.
IA et exposition cyber des territoires
Cette situation intervient dans un contexte déjà tendu pour les collectivités. Avanoo rappelle que, selon le Panorama de la cybermenace 2025 de l’ANSSI, les ministères et les collectivités territoriales concentreraient 24 % des incidents traités par l’agence, soit le deuxième secteur le plus visé en France. La tribune mentionne également 144 communes françaises touchées par une cyberattaque en 2025, dont 25 par un ransomware confirmé, ainsi qu’une attaque DDoS attribuée au groupe pro-russe NoName057(16) contre les sites de plus de vingt grandes villes le 1er janvier 2025.
Dans ce contexte, l’IA générative non encadrée peut accroître la surface d’exposition, en particulier lorsque les données transitent par des plateformes hors du système d’information administré.
Contraintes des DSI territoriales
La tribune insiste sur un point de gouvernance : la difficulté ne relève pas seulement d’un manque de vigilance des agents ou des collectivités. Beaucoup de communes et d’intercommunalités disposent de moyens IT limités. Avanoo cite notamment le cas de communes de taille moyenne avec un DSI à temps partagé, voire sans DSI dédié, ainsi que des RSSI mutualisés entre plusieurs entités. Cette organisation rend difficile la définition rapide de règles d’usage, le choix d’outils conformes et le contrôle des flux de données.
L’écart est aussi institutionnel. L’État déploie un assistant souverain fondé sur Mistral auprès de 10 000 agents ministériels mais l’accès ne serait pas encore ouvert aux territoires. Soixante-dix collectivités seraient en discussion pour l’intégrer. Les autres doivent donc composer avec les usages spontanés des agents.
Supervision et contrôle des usages
La réponse proposée par Avanoo consiste à encadrer les usages plutôt qu’à les interdire. L’entreprise défend une approche centrée sur la cartographie des usages réels, l’orientation vers des outils conformes et la protection des données sensibles au niveau du poste de travail ou du navigateur. Pour une DSI, l’enjeu serait de disposer d’une visibilité sur les prompts, les fichiers manipulés et les services utilisés, tout en conservant les gains de productivité attendus par les métiers.
Cette approche suppose toutefois de clarifier plusieurs points avant le déploiement : périmètre fonctionnel, modalités de détection, hébergement, conformité RGPD, gestion des données sensibles et intégration avec les politiques de sécurité existantes. Pour les collectivités, la priorité opérationnelle consiste désormais à transformer ces usages dispersés en pratiques contrôlées, auditables et compatibles avec leurs obligations de service public.