RostraRostra
← Blog
Souveraineté & RGPD2026-05-31 · 7 min de lecture

Peut-on utiliser ChatGPT en mairie ? Ce que disent le RGPD et la CNIL

La réponse courte : oui, mais pas sur des données d'administrés. Utiliser ChatGPT pour rédiger un acte ou répondre à un courrier nominatif expose la commune à une violation du RGPD. Ce qui est autorisé, ce qui ne l'est pas, et l'alternative française conforme.

Peut-on utiliser ChatGPT en mairie ? Oui pour des tâches sans donnée personnelle (reformuler un texte public, trouver une idée de discours, corriger une orthographe). Non dès qu'un courrier d'administré, une délibération nominative ou un document interne entre dans la conversation : ces données partent alors vers des serveurs américains soumis au Cloud Act, ce qui constitue une violation du RGPD pour une collectivité.

C'est la nuance que la plupart des chartes internes de mairie n'ont pas encore tranchée. Voici le cadre précis, ce qui est réellement autorisé, et l'alternative conforme.

Ce que ChatGPT fait avec vos données

Quand un agent saisit un texte dans ChatGPT, ce texte est transmis aux serveurs d'OpenAI, une société américaine. Deux conséquences :

  1. Le transfert hors UE. Même si OpenAI dispose de serveurs en Europe, sa société mère est soumise au Cloud Act américain, qui autorise les autorités des États-Unis à demander l'accès aux données. Un transfert de données personnelles d'administrés vers ce cadre n'offre pas le niveau de protection exigé par le RGPD.

  2. L'entraînement du modèle. Par défaut, sur les versions grand public, les conversations peuvent être utilisées pour améliorer le modèle. Le courrier d'un habitant sur une aide sociale, un arbitrage budgétaire non public, un projet de délibération : tout cela peut alimenter un modèle partagé.

Pour un usage privé, ce n'est pas votre problème. Pour une collectivité responsable de traitement au sens du RGPD, c'en est un.

Ce qui est autorisé (et ce qui ne l'est pas)

La ligne de partage n'est pas "IA oui / IA non". Elle est sur la nature de la donnée que vous y mettez.

Usages tolérés (aucune donnée personnelle)

Usages à proscrire (donnée personnelle ou document interne)

La règle simple à diffuser auprès des agents : si le texte contient un nom, une adresse, une situation individuelle ou un document non public, il ne va pas dans ChatGPT.

Ce que dit la CNIL

La CNIL a publié ses recommandations sur l'IA générative dans les organisations. Trois points concernent directement les collectivités :

Un outil grand public comme ChatGPT ne fournit pas, dans ses conditions standard, le DPA qu'une collectivité devrait exiger. C'est précisément ce qui manque pour rendre l'usage conforme sur des données d'administrés.

L'IA Act européen ajoute une couche

Le règlement européen sur l'intelligence artificielle (AI Act) s'applique progressivement depuis 2025. Pour les collectivités, il introduit des obligations de transparence et de classification des usages selon leur niveau de risque. Un service public qui déploie de l'IA sur des décisions touchant les administrés entre dans le champ des usages encadrés. Là encore, la traçabilité de l'outil et de l'hébergement devient un critère, pas une option.

L'alternative : une IA souveraine, hébergée en France

Le problème n'est pas l'IA. C'est l'absence de cadre et l'hébergement hors d'Europe. La réponse conforme existe : un assistant IA qui repose sur un modèle européen (Mistral AI, entreprise française) et un hébergement en France (OVHcloud), avec une clause contractuelle de zéro apprentissage sur vos données.

C'est exactement la logique de Rostra : la même puissance de rédaction que les outils grand public, mais avec des données qui ne quittent jamais le sol français et ne servent jamais à entraîner un modèle. Un agent peut alors faire ce qui est interdit sur ChatGPT (répondre à un courrier nominatif, résumer un compte rendu, transcrire un conseil municipal) sans exposer la commune.

Pour comprendre les critères à exiger de tout prestataire, voir notre article IA et collectivités : ce que vous devez exiger de votre prestataire.

En résumé

Ce que ChatGPT grand public permet sans risque : reformuler un texte déjà public, demander une trame générique, corriger une orthographe sans donnée nominative.

Ce qui exige un outil souverain : répondre à un courrier d'administré, résumer un compte rendu nominatif, transcrire un conseil municipal, traiter tout dossier individuel ou document interne. Sur ChatGPT, ces usages constituent une violation du RGPD car les données partent vers des serveurs américains soumis au Cloud Act et peuvent servir à entraîner le modèle.

La différence tient à deux critères : l'hébergement (États-Unis pour ChatGPT, France via OVHcloud pour un outil souverain) et l'entraînement (possible sur les versions grand public, contractuellement exclu sur un outil dédié aux collectivités).

Utiliser l'IA en mairie est non seulement possible, c'est un vrai levier de productivité. La condition est simple : le bon outil pour la bonne donnée. ChatGPT pour le générique et le public, un outil souverain pour tout ce qui touche un administré ou un document interne.


Vous rédigez la charte IA de votre collectivité ? Nous préparons un modèle de charte téléchargeable. Écrivez-nous à support@rostra.fr pour le recevoir en avant-première.

R
Équipe Rostra
2026-05-31