Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
L'essor de l'IA dans la fonction publique française : une menace pour les données stratégiques ?
L'implantation rapide de l'intelligence artificielle générative dans les administrations publiques françaises soulève des inquiétudes quant à la sécurité des données stratégiques des entreprises. Ces données, souvent confiées à l'État dans le cadre de divers processus administratifs, pourraient transiter par des modèles de langage hébergés sur des clouds étrangers, posant ainsi un risque de fuite non négligeable.
Les administrations publiques françaises adoptent de plus en plus l'IA générative sous diverses formes : chatbots, assistants à la rédaction, outils de synthèse et d'analyse de dossiers. Si ces technologies promettent des gains d'efficacité, elles introduisent également des risques peu documentés. En effet, les données stratégiques des entreprises, partagées avec l'État pour des raisons de conformité, de marchés publics ou d'obligations réglementaires, pourraient être exposées à des modèles de langage hébergés à l'étranger.
Un rapport inter-inspections qui soulève des questions
En avril 2026, un rapport conjoint de l'Inspection générale des finances (IGF), de l'Inspection générale des affaires sociales (IGAS) et de l'Inspection générale de l'administration (IGA) a été publié. Ce document, disponible sur le site de l'IGAS, souligne que l'IA représente un levier de transformation majeur pour l'action publique. Il propose treize recommandations pour structurer ce déploiement. Cependant, le rapport reste silencieux sur un point crucial pour les entreprises : la protection de leurs données sensibles lorsqu'elles transitent par des outils d'IA non souverains.
Le rapport s'appuie sur un benchmark avec le secteur privé et treize administrations étrangères, fournissant ainsi un cadre de référence pour évaluer les gains de productivité et d'amélioration des services publics grâce à l'IA.
Les données stratégiques en jeu
Les entreprises françaises partagent régulièrement avec l'administration des informations stratégiques. Ces données vont bien au-delà des simples formalités administratives et incluent des éléments cruciaux pour la compétitivité, le savoir-faire et la conformité des entreprises.
On peut distinguer plusieurs catégories de données sensibles :
- Données de conformité réglementaire : Ces informations sont collectées lors de contrôles par la DGCCRF, les inspections du travail, ou pour des autorisations environnementales ou sanitaires.
- Données industrielles et de processus : Souvent partagées dans le cadre de marchés publics complexes ou de contrôles techniques.
- Données financières et fiscales : Transmises lors de déclarations fiscales ou de marchés publics.
- Données liées aux clients ou bénéficiaires : Utilisées dans les dispositifs de lutte contre la fraude sociale ou fiscale.
Ces données sont souvent protégées par le secret des affaires ou des clauses de confidentialité. Leur divulgation pourrait nuire à la compétitivité des entreprises concernées. Le rapport note que les administrations sont soumises à des contraintes de souveraineté, mais ne détaille pas les conséquences pour les entreprises.
Confidentialité et risques de fuite
Les fonctionnaires et agents publics sont tenus à des obligations strictes de confidentialité, encadrées par le secret professionnel et des règles déontologiques. Pourtant, le rapport IGF/IGAS/IGA souligne que l'utilisation non régulée d'outils d'IA grand public, ou "shadow IA", pourrait concerner jusqu'à 40 % des agents dans les collectivités territoriales. Cette pratique expose les données traitées à des risques de fuite, car les outils utilisés n'offrent généralement aucune garantie de confidentialité ou de souveraineté.
Un rapport qui néglige un risque majeur
Le rapport inter-inspections d'avril 2026 vise à évaluer les gains de productivité et d'amélioration des services publics grâce à l'IA. Il propose un cadre opérationnel structuré autour de treize recommandations, incluant la sécurisation des outils, la mutualisation des infrastructures et la gouvernance des données. Cependant, il se concentre principalement sur la protection des données personnelles des usagers et la souveraineté de l'État, négligeant les risques spécifiques liés aux données stratégiques des entreprises.
Les risques concrets de fuite des données
Les pratiques actuelles dans les administrations créent une exposition réelle des données d'entreprises. Le recours aux LLM cloud commerciaux, par exemple, pose un risque significatif. La quasi-totalité des assistants conversationnels déployés ou expérimentés ne sont pas labellisés SecNumCloud 3.2, un prérequis pour le traitement des données sensibles. Ces données incluent celles dont la violation pourrait porter atteinte à l'ordre public, à la sécurité publique, ou à la protection de la propriété intellectuelle.
L'annexe IX du rapport précise explicitement qu'il est impossible de recourir à des opérateurs soumis aux lois extraterritoriales américaines, telles que le Cloud Act et la FISA, pour les données sensibles.
Un autre risque concerne l'utilisation des données par les éditeurs eux-mêmes. L'annexe X du rapport développe longuement le phénomène de verrouillage technologique (lock-in) et "l'illusion de la souveraineté par le seul hébergement". Même lorsque les données sont hébergées en Europe, l'absence de maîtrise de la chaîne logicielle et l'exposition aux feuilles de route des éditeurs privés créent une dépendance. Les données transmises à des modèles cloud peuvent, selon les conditions d'utilisation, contribuer à l'amélioration des modèles ou être accessibles aux autorités du pays d'origine du fournisseur.
Conséquences pour les entreprises et les administrations
Ces risques exposent directement les entreprises à des pertes d'avantage compétitif, à des atteintes à la propriété intellectuelle ou à des usages à des fins de renseignement économique. Les fonctionnaires et agents publics ne sont pas non plus à l'abri : en cas de fuite, leur responsabilité peut être engagée, surtout si l'outil utilisé n'est pas conforme aux exigences de sécurité et de souveraineté.
Conclusion : une réflexion nécessaire sur la gouvernance des données
Le rapport inter-inspections d'avril 2026 apporte une contribution précieuse à la réflexion sur le déploiement de l'IA dans les administrations publiques. Il souligne la nécessité d'une gouvernance rigoureuse et d'une mutualisation des infrastructures. Cependant, il ne propose pas une analyse complète des risques systémiques liés à l'utilisation d'outils d'IA non souverains pour traiter des données stratégiques d'entreprises.
À l'heure où la France et l'Europe cherchent à renforcer leur autonomie technologique, la protection des données d'intérêt économique et stratégique des entreprises dans les usages publics de l'IA doit être intégrée aux politiques de gouvernance. Cela nécessite un renforcement des clauses contractuelles avec les fournisseurs de LLM, une accélération de la mise à disposition d'infrastructures souveraines mutualisées, et une cartographie précise des flux de données entre secteur privé et outils d'IA publics. Sans cela, l'IA, bien qu'un levier de transformation pour l'action publique, pourrait paradoxalement fragiliser la compétitivité des entreprises françaises.






