Où sont hébergées nos données ?

L'intégralité de l'infrastructure Rostra est hébergée sur les datacenters OVH en France. Aucune donnée ne transite par des serveurs situés hors du territoire français.

Rostra stocke-t-il nos délibérations et procès-verbaux ?

Non. Rostra traite vos données à la volée et ne conserve aucun contenu après traitement. Les documents générés sont immédiatement téléchargeables et supprimés de nos serveurs.

Notre messagerie actuelle est-elle compatible ?

Rostra s'intègre avec les principales messageries institutionnelles : Outlook, Gmail, et toute messagerie compatible IMAP/SMTP.

Rostra connaît-il le Code général des collectivités territoriales ?

Oui. Rostra utilise exclusivement Mistral AI et a été configuré spécifiquement sur le CGCT, la nomenclature des délibérations, le protocole des arrêtés et le vocabulaire du secteur public territorial.

← Blog

Souveraineté & RGPD2026-03-10 · 6 min de lecture

IA et collectivités territoriales : ce que vous devez exiger de votre prestataire

ChatGPT, Gemini, Copilot — les outils grand public envahissent les mairies. Ce que beaucoup d'élus ignorent : utiliser ces outils sur des données administratives expose la collectivité à des risques juridiques réels. Ce qu'il faut vérifier avant tout déploiement.

Depuis 2023, les agents territoriaux et les élus utilisent massivement les assistants IA grand public. Pour rédiger un courrier, préparer un discours, résumer un rapport. C'est compréhensible : ces outils sont puissants, accessibles, et souvent gratuits.

Le problème n'est pas l'IA. C'est l'absence de cadre.

Le cadre juridique qui s'applique aux collectivités

Les collectivités territoriales sont soumises à plusieurs corpus réglementaires qui encadrent strictement le traitement de leurs données :

Le RGPD s'applique dès que des données à caractère personnel sont impliquées — ce qui est le cas pour les courriers des administrés, les délibérations nominatives, les comptes rendus de commissions avec des agents nommément cités.

La circulaire CADA de 2022 rappelle que les documents administratifs produits par une collectivité restent communicables et doivent conserver leur traçabilité. Un document dont la rédaction a été déléguée à un tiers hébergé hors UE pose un problème de responsabilité.

Les marchés publics DSI des collectivités de plus grande taille (EPCI, départements) imposent souvent explicitement un hébergement des données sur sol français ou européen.

En pratique : utiliser ChatGPT pour rédiger un acte administratif avec des données d'administrés, c'est transférer ces données vers des serveurs américains, soumis au Cloud Act. Légalement, c'est une violation du RGPD.

Trois questions à poser à tout prestataire IA

Avant tout déploiement d'un outil IA dans une collectivité, voici les trois questions non négociables :

1. Où sont hébergées les données ?

La réponse acceptable est : datacenter en France ou dans l'UE, exploité par une entreprise soumise au droit européen uniquement.

OVHcloud (Strasbourg, Roubaix) est aujourd'hui la référence souveraine française. Scaleway, Outscale (filiale Dassault Systèmes) sont des alternatives conformes.

Azure, AWS et Google Cloud ont des datacenters en Europe — mais leurs sociétés mères sont américaines et soumises au Cloud Act, ce qui rend le transfert potentiellement légal même depuis un serveur à Paris.

2. Les données servent-elles à entraîner le modèle ?

C'est la clause à chercher dans les CGU. Beaucoup d'outils grand public se réservent le droit d'utiliser vos interactions pour améliorer leur modèle. Pour une mairie, cela signifie que les courriers de vos administrés, les délibérations de votre conseil, les arbitrages budgétaires non publics... alimentent un modèle partagé avec des millions d'autres utilisateurs.

La garantie à exiger : une clause contractuelle explicite de zéro apprentissage (zero learning ou no training on data). Elle doit figurer dans le contrat, pas seulement dans une FAQ.

3. Combien de temps les données sont-elles conservées ?

Un enregistrement audio de conseil municipal, une transcription, un brouillon de délibération — combien de temps restent-ils sur les serveurs du prestataire ?

La réponse acceptable pour une donnée de traitement : suppression immédiate après l'export ou l'usage. Pas 30 jours, pas 90 jours — suppression immédiate.

Le cas particulier des modèles de langage

L'autre question souvent ignorée : quel modèle IA est utilisé sous le capot ?

La plupart des outils "IA pour collectivités" qui émergent sont en réalité des interfaces construites sur GPT-4 (OpenAI, américain) ou Gemini (Google, américain). Le logo change, mais les données passent par les mêmes serveurs.

Un outil réellement souverain utilise un modèle développé et hébergé en Europe. Mistral AI — entreprise française, modèles entraînés et hébergés en France — est aujourd'hui la référence technique. Ses modèles sont comparables en performance aux meilleurs modèles américains sur les tâches de rédaction administrative française.

Ce que la CNIL dit sur le sujet

La CNIL a publié en 2024 ses recommandations sur l'usage de l'IA générative dans les organisations. Ses positions clés :

Les collectivités sont responsables de traitement même quand elles délèguent à un prestataire IA
L'IA utilisée sur des données personnelles doit faire l'objet d'une analyse d'impact (AIPD)
Le prestataire doit être qualifié de sous-traitant au sens du RGPD, avec un contrat de traitement des données (DPA) en bonne et due forme

En pratique, rares sont les déploiements d'outils grand public dans les mairies qui respectent ce cadre. La CNIL n'a pas encore sanctionné massivement les collectivités sur ce sujet — mais la direction est claire.

La souveraineté numérique n'est pas un luxe

On entend souvent : "On est une petite commune, on n'est pas une cible, personne ne va venir regarder nos délibérations."

Ce n'est pas le bon prisme. La souveraineté numérique n'est pas une question de taille ou d'intérêt stratégique. C'est une question de conformité légale et de confiance des administrés.

Un habitant qui envoie un courrier à sa mairie sur un sujet personnel (aide sociale, conflit de voisinage, demande de permis) n'a pas consenti à ce que ses données soient traitées par des serveurs américains. La collectivité a une obligation de moyens — et de plus en plus, d'outils.

Checklist avant tout déploiement IA

Avant de signer avec un prestataire IA, vérifiez :

[ ] Hébergement sur sol français ou UE, entreprise soumise au droit européen uniquement
[ ] Clause contractuelle de zéro apprentissage sur vos données
[ ] Suppression des données après export (pas de rétention prolongée)
[ ] Modèle IA identifié et souverain (Mistral AI ou équivalent européen)
[ ] Contrat de traitement des données (DPA) conforme RGPD fourni
[ ] Possibilité d'AIPD sur demande

L'IA est un levier de productivité réel pour les collectivités territoriales. Mais son déploiement sans cadre expose la commune, les élus, et les administrés. Prendre le temps de choisir un outil souverain, c'est investir dans la confiance — et éviter des contentieux futurs.

Équipe Rostra

2026-03-10