Actualités · Traçabilité & secteur public

Traçabilité de l’IA en collectivité : la preuve opposable qu’un auditeur attend.

Dans le secteur public, la question n'est plus « quelle IA choisir ? » mais « pouvez-vous prouver comment vous l'avez utilisée ? ». Face à un auditeur, à un citoyen ou à un juge, un beau rapport ne vaut pas une trace. Et cette trace ne s'écrit pas après la décision : elle s'écrit pendant.

Stéphane Maufras · 18 juillet 2026 · 8 min de lecture

La trace opposable de l'usage de l'intelligence artificielle dans une collectivité : un registre de décision produit en séance, prêt pour l'audit

Une collectivité qui se met à l'IA se pose souvent la mauvaise première question : quel outil, quelle plateforme, quel fournisseur. La vraie question, celle qui reviendra tôt ou tard, est ailleurs : le jour où l'on vous demandera des comptes sur une décision prise avec l'aide de l'IA, que pourrez-vous montrer ?

Car dans le secteur public, un usage n'existe vraiment que s'il est prouvable. Redevabilité devant les élus et les citoyens, contrôle de légalité, exigences RGPD, obligations de l'AI Act, marchés publics auditables : partout, la même attente. Pas « avez-vous utilisé une bonne IA ? », mais « pouvez-vous prouver comment vous l'avez utilisée, et qui en répond ? ».

Dans le public, la question n'est pas de savoir si l'IA a aidé à décider. C'est de pouvoir montrer comment, et qui en répond.

L'AI Act adosse d'ailleurs ses exigences à des sanctions bien réelles, jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les manquements les plus graves. Mais avant la sanction, il y a le contrôle. Et un contrôle ne se règle pas avec des intentions : il se règle avec une trace.

Ce qu’un auditeur attend, ce n’est pas un rapport.

Une trace opposable, ce n'est pas un document qui décrit ce que l'on aurait dû faire. C'est l'enregistrement de ce qui a réellement été fait, au moment où ça s'est fait. Concrètement, un auditeur cherche à retrouver quatre choses.

01

Qui a décidé

Une décision assistée par l'IA reste une décision humaine. Il faut pouvoir nommer qui l'a prise, et qui pouvait l'arrêter. Une sortie d'IA sans responsable identifié n'est pas défendable.

02

Sur quelles données

Quelles informations ont nourri la demande, et lesquelles ont été volontairement écartées. La protection des données se prouve à l'entrée, pas après coup.

03

Avec quels garde-fous

Les règles posées avant de générer : conformité, interdits, points de vigilance. Un garde-fou qui n'est écrit nulle part n'a jamais existé, du point de vue de l'audit.

04

Ce qui a été vérifié

Le résultat de l'IA a-t-il été relu, corrigé, validé, et par qui. Une décision tracée est une décision que l'on peut réexpliquer, des mois plus tard, sans réécrire l'histoire.

Le piège : confondre un rapport avec une trace.

Face à ce besoin, le réflexe est souvent de faire appel à un grand cabinet. On en ressort avec un rapport épais, des recommandations, une belle présentation. C'est utile pour se cadrer, mais il faut être lucide sur ce que c'est : un document produit à côté de la décision, qui dit ce qu'il faudrait faire. Ce n'est pas la preuve de ce qui a été fait.

Un rapport de recommandations décrit une intention. Une trace opposable enregistre un acte. Le premier vous coûte cher et descend d'en haut ; la seconde doit remonter de vos propres équipes, au moment où elles décident. Aucune présentation, aussi soignée soit-elle, ne remplacera le registre de la séance où la décision a réellement été prise.

Un rapport dit ce qu'il faudrait faire. Une trace prouve ce qui a été fait. Un audit ne s'intéresse qu'à la seconde.

La trace s’écrit en séance, pas après.

C'est le point que la plupart des dispositifs manquent. On génère avec l'IA d'un côté, et on essaie de documenter de l'autre, plus tard, quand on a le temps. Sauf qu'une trace reconstituée après coup est toujours suspecte : elle lisse, elle oublie, elle réécrit. La seule trace qui tient devant un contrôle est celle qui naît en même temps que la décision.

Cela suppose de changer la façon de travailler, pas d'ajouter un logiciel. Réunir les bonnes fonctions autour du sujet, poser les garde-fous avant de générer, faire trancher un responsable, et consigner le tout dans le mouvement. La traçabilité n'est plus une corvée administrative ajoutée à la fin : elle devient un sous-produit naturel de la méthode.

Conforme par constructionLa conformité qui tient n'est pas celle que l'on documente après, mais celle qui découle de la manière de travailler : données sécurisées à l'entrée, rôles nommés, arbitrages écrits en direct. La preuve s'écrit toute seule, parce que la séance l'impose.

Une séance, une décision, un registre opposable.

C'est exactement ce que produit le Cockpit CadrIA. Une séance réunit les fonctions concernées autour d'un vrai sujet de la collectivité, pilote l'IA sous protocole, et se termine par deux choses indissociables : un livrable, et le registre de la décision qui l'a produit. Objectif, données, garde-fous, arbitrages, responsable : tout est là, écrit en séance, prêt pour l'audit.

Sans cloud imposé ni licence propriétaire, la méthode s'exerce partout, dans n'importe quel service. Et parce que chaque séance laisse sa trace, la collectivité peut, à froid, remonter le fil de n'importe quel usage. La suite logique, c'est une charte d'usage de l'IA : les règles décidées ensemble, adossées à des traces réelles plutôt qu'à des principes abstraits.

La preuve, pas la promesse

Faites de la traçabilité un réflexe, pas une corvée.

Une séance Cockpit CadrIA dans votre collectivité, sur un vrai sujet : vos équipes pilotent l'IA sous protocole, décident ensemble et repartent avec le livrable et son registre, prêt pour l'audit. La suite naturelle, c'est votre charte d'usage de l'IA, adossée à des traces réelles.

À lire aussi

Pour aller plus loin.

Secteur public · Souveraineté

IA dans le service public : la souveraineté commence par la méthode, pas par le cloud.

Lire l'article

Gouvernance IA

Gouvernance de l’IA en PME : pourquoi pas un Chief AI Officer.

Lire l'article