Stefi
Retour au blog
Secrétaire de mairie vérifiant la conformité RGPD avant d'utiliser une IA pour rédiger un document communal

Obligations RGPD d'une commune qui utilise ChatGPT pour rédiger ses documents

Milla - votre assistante IA juridique
LinkedIn Twitter Facebook

Un agent de votre mairie a ouvert ChatGPT pour rédiger plus vite un courrier, une délibération ou une réponse à un administré. Le réflexe est compréhensible : le temps manque, l'outil est gratuit et le résultat impressionne.

Mais dès qu'un nom, une adresse, une situation individuelle ou un dossier d'administré est saisi dans l'outil, votre commune devient responsable d'un traitement de données personnelles au sens du RGPD — avec les obligations qui vont avec. La bonne nouvelle : vous n'avez pas à interdire l'IA. Vous devez l'encadrer. Voici, concrètement, ce que le RGPD impose à votre commune quand elle utilise une IA comme ChatGPT, et comment vous mettre en règle sans bloquer vos équipes.

Pourquoi votre commune est-elle « responsable de traitement » dès qu'elle utilise ChatGPT ?

Parce que c'est votre commune qui décide pourquoi et comment les données sont utilisées. Dès qu'un agent saisit une donnée personnelle (nom d'un administré, situation familiale, dossier d'état civil, données d'un agent communal) dans un outil d'IA, votre commune réalise un traitement de données et en est juridiquement la responsable au sens du RGPD.

Cela vaut quelle que soit la taille de la collectivité : une commune de 300 habitants est soumise aux mêmes principes qu'une métropole. Cela vaut aussi même si l'outil est gratuit et utilisé « juste pour un essai » : le RGPD ne regarde pas le prix de l'outil, mais la nature des données traitées.

Concrètement, être responsable de traitement signifie que vous devez pouvoir démontrer que l'usage de l'IA dans votre mairie est encadré. C'est le principe de responsabilité : ce n'est pas à la CNIL de prouver que vous êtes en faute, c'est à vous de prouver, documents à l'appui, que vous respectez les règles.

Quelles sont les 6 obligations RGPD à respecter ?

Voici les obligations qui s'appliquent à votre commune dès qu'elle utilise une IA générative pour traiter des données. Elles se cumulent.

1. Désigner un délégué à la protection des données (DPO). Le RGPD (article 37) rend la désignation d'un DPO obligatoire pour toute autorité ou organisme public — donc pour toutes les communes, sans seuil de population.

Vous pouvez désigner un DPO mutualisé, partagé entre plusieurs communes ou porté par votre intercommunalité ou un centre de gestion. Ses coordonnées doivent être publiées et communiquées à la CNIL.

2. Tenir un registre des activités de traitement. L'article 30 du RGPD impose de tenir un registre recensant vos traitements de données. L'usage d'une IA pour rédiger des actes ou des courriers contenant des données personnelles doit y figurer : finalité, catégories de données, destinataires, durées de conservation.

La CNIL met à disposition un modèle de registre simplifié pour les petites structures et les petites collectivités. Ce registre doit pouvoir être présenté à la CNIL en cas de contrôle.

3. Définir une base légale. Tout traitement doit reposer sur une base légale (article 6 du RGPD) : pour une commune, le plus souvent la mission d'intérêt public ou l'obligation légale. Autrement dit, vous devez pouvoir expliquer pourquoi l'IA traite ces données dans le cadre de vos missions.

4. Respecter la minimisation des données. Le RGPD (article 5) impose de ne traiter que les données strictement nécessaires. La CNIL recommande explicitement, pour l'IA générative, de n'inscrire dans un prompt que ce qui est indispensable à la tâche. Concrètement : on ne copie pas un dossier d'administré complet dans ChatGPT pour rédiger un courrier ; on anonymise ou on retire les données qui ne servent pas.

5. Informer les personnes concernées. Les articles 13 et 14 du RGPD imposent d'informer les administrés et les agents sur l'usage de leurs données — y compris lorsqu'un outil d'IA intervient dans le traitement. Cette information passe par votre politique de confidentialité et, le cas échéant, vos mentions sur les formulaires.

6. Réaliser une analyse d'impact (AIPD) quand le risque est élevé. L'analyse d'impact relative à la protection des données (article 35 du RGPD) devient nécessaire pour les traitements susceptibles d'engendrer un risque élevé.

La CNIL considère qu'une AIPD est en principe nécessaire pour les usages d'IA à risque élevé, et la juge particulièrement attendue dès qu'il s'agit de données sensibles ou de décisions touchant des personnes. Pour une commune, c'est typiquement le cas si l'IA intervient sur des dossiers RH, sociaux ou individuels d'administrés.

ChatGPT grand public pose-t-il un problème particulier ?

Oui, et il tient au lieu de stockage des données. Quand un agent utilise la version grand public de ChatGPT (ou de Copilot, Gemini…), les informations saisies transitent sur des serveurs soumis au Cloud Act, une loi américaine qui autorise les autorités des États-Unis à accéder aux données détenues par des entreprises américaines, y compris hébergées en Europe.

Pour une commune, deux difficultés s'ajoutent alors :

  • Le transfert hors Union européenne doit être encadré juridiquement (le RGPD pose des conditions strictes aux transferts de données hors UE).

  • La maîtrise des données échappe à la commune : difficile de garantir aux administrés où vont leurs données et qui peut y accéder, ce qui fragilise votre obligation d'information et de sécurité.

Ce n'est pas l'IA en elle-même qui pose problème : c'est l'usage d'un outil grand public, non maîtrisé, pour des données publiques sensibles. Nous détaillons ce point dans notre article sur la souveraineté numérique des communes.

À retenir : le RGPD n'interdit pas l'IA en mairie. Il interdit l'IA non encadrée. La question n'est pas « peut-on utiliser l'IA ? » mais « avec quel outil, sur quelles données, et avec quelles garanties ? ».

Que risque concrètement une commune en cas de manquement ?

Le premier risque n'est pas tant l'amende que la perte de confiance des administrés et l'exposition juridique. En cas de contrôle, la CNIL peut adresser une mise en demeure, un rappel à l'ordre, voire prononcer des sanctions. Le RGPD prévoit un plafond de sanction pouvant atteindre, dans le cas général, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial — un plafond pensé pour les grandes entreprises, mais qui rappelle la gravité de l'enjeu.

Pour une commune, le risque le plus tangible reste l'absence de cadre : la CNIL considère que ne pas avoir documenté et encadré ses usages constitue en soi un manquement. C'est pourquoi la priorité, pour votre mairie, est de pouvoir prouver que vous avez structuré l'usage de l'IA — registre à jour, DPO désigné, consignes claires aux agents.

STEFI : une IA pensée pour respecter ces obligations dès le départ

Plutôt que d'interdire l'IA ou de laisser chaque agent utiliser ChatGPT « dans son coin » (ce qu'on appelle le Shadow IA), de plus en plus de communes choisissent un outil conçu pour le cadre RGPD.

C'est l'approche de STEFI : une plateforme d'IA hébergée en France chez OVHcloud, conforme RGPD, dont les données ne sont pas utilisées pour entraîner des modèles tiers. Vos agents — Nina, Alix, Yanis et Milla — sont formés au droit public français et au Code général des collectivités territoriales (CGCT), pour rédiger délibérations, arrêtés et courriers sans envoyer vos données de l'autre côté de l'Atlantique.

STEFI ne remplace pas votre secrétaire de mairie ni votre DPO : l'outil assiste, la décision et la validation restent les vôtres. Mais il vous évite d'avoir à arbitrer entre gain de temps et conformité.

Plutôt que d'interdire l'IA, beaucoup de communes optent pour une IA souveraine conçue pour les collectivités.

Pour aller plus loin

Si vous souhaitez voir comment une IA conforme peut s'intégrer dans le quotidien de votre mairie, découvrez STEFI Commune — essai 14 jours gratuit, sans engagement, paiement par mandat administratif.

Milla et les autres agents peuvent vous aider dès aujourd'hui à préparer votre prochain conseil municipal ou à rédiger une délibération, sans exposer les données de vos administrés. Pour cadrer l'arrivée de l'IA dès le début du mandat, voyez aussi nos 10 premières formalités légales après votre élection de maire.

Parce qu'une commune souveraine commence par des outils souverains.

STEFI est éditée par Erkos, une équipe française au service des élus locaux depuis 2006 sous la marque discours.fr. Aujourd'hui, plus de 5 000 communes utilisent nos services. Hébergement OVHcloud en France · Conforme RGPD ·

Contact : 09 72 30 64 42.

Cet article a une vocation d'information générale et ne constitue pas un conseil juridique personnalisé. Pour un cas précis, rapprochez-vous de votre DPO ou de la CNIL. Dernière mise à jour : 22 juin 2026.

Questions fréquentes des élus

Une petite commune doit-elle vraiment respecter le RGPD pour utiliser ChatGPT ?

Oui. Le RGPD s'applique à toutes les communes, sans seuil de population, dès qu'elles traitent des données personnelles. Une commune rurale qui utilise ChatGPT pour rédiger un courrier contenant le nom d'un administré est responsable de ce traitement, exactement comme une grande ville.

Faut-il un DPO (délégué à la protection des données) dans une commune ?

Oui, c'est obligatoire. L'article 37 du RGPD impose à toute autorité ou organisme public de désigner un DPO, quelle que soit sa taille. Une petite commune peut toutefois mutualiser ce DPO avec d'autres communes, son intercommunalité ou un centre de gestion.

Peut-on utiliser ChatGPT en mairie sans enfreindre le RGPD ?

C'est possible, mais à condition de l'encadrer : ne saisir que des données strictement nécessaires (minimisation), éviter les données sensibles, inscrire l'usage dans votre registre des traitements et privilégier un outil hébergé en Europe. Pour des données d'administrés, une IA souveraine hébergée en France offre des garanties que la version grand public de ChatGPT ne permet pas.

Quand une commune doit-elle réaliser une analyse d'impact (AIPD) ?

Lorsque le traitement présente un risque élevé pour les personnes — par exemple un usage de l'IA sur des dossiers RH, sociaux ou des décisions individuelles touchant des administrés. La CNIL considère qu'une AIPD est en principe nécessaire pour les usages d'IA à risque élevé impliquant des données personnelles.