Plus d’un agent public sur deux utilise ChatGPT sans cadre, exposant les collectivités à des cyber-risques majeurs, selon une récente analyse.

Le constat est alarmant et révèle une tendance de fond au sein de l’administration française. Selon une enquête menée en avril 2026 auprès de 2 000 agents publics, plus de la moitié d’entre eux ont recours à des intelligences artificielles génératives comme ChatGPT dans leurs tâches quotidiennes, et ce, sans aucun cadre ni supervision. Loin d’être anecdotique, cet usage clandestin, baptisé « Shadow AI », crée une nouvelle couche de vulnérabilité pour des services publics déjà surexposés à la menace cyber.

Cette pratique n’est pas le fruit d’une négligence, mais plutôt d’une quête d’efficacité. Comme le souligne Etienne Delouvrier, COO d’Avanoo, dans une analyse récente, ces agents « inventent, seuls, les usages que la doctrine institutionnelle n’a pas encore eu le temps d’écrire ». Qu’il s’agisse de reformuler une note de synthèse, de traduire un courrier pour un usager ou de créer une trame de délibération, l’IA permet de gagner un temps précieux. Mais le revers de la médaille est une exposition accrue aux risques.

Des collectivités en première ligne face aux cyberattaques

Le problème réside dans l’asymétrie entre cet engouement pour l’IA et la fragilité cyber des administrations locales. Le « Panorama de la cybermenace 2025 » de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est sans équivoque : les ministères et collectivités territoriales concentrent 24 % des incidents traités par l’agence, ce qui en fait le deuxième secteur le plus visé en France. La Cour des comptes, dans un rapport de mars 2025, alerte également sur cette recrudescence.

Les conséquences financières et opérationnelles sont considérables. En 2025, 144 communes ont été victimes de cyberattaques, dont certaines paralysantes. Les coûts de remédiation se chiffrent en centaines de milliers, voire en millions d’euros : un million pour Lille, 230 000 euros pour Mitry-Mory. En avril 2024, la ville de Gravelines a vu l’intégralité de ses services, des aides sociales à la paie des agents, rendue indisponible.

Le Shadow AI, une porte d’entrée pour la fuite de données

L’usage d’outils grand public comme ChatGPT ajoute une vulnérabilité critique. Des fichiers RH, des comptes rendus de conseils municipaux, des données personnelles d’usagers sont copiés-collés sur des serveurs situés hors de l’Union européenne, souvent aux États-Unis et soumis au Cloud Act. Ces données sensibles peuvent ensuite être réutilisées pour entraîner les modèles d’IA, sans aucune maîtrise ni garantie de confidentialité pour la collectivité.

Cette situation est d’autant plus préoccupante que les collectivités manquent souvent de moyens pour y faire face. Une commune de 8 000 habitants dispose rarement d’un Directeur des Systèmes d’Information (DSI) à temps plein, et les responsables de la sécurité (RSSI) sont souvent mutualisés entre de nombreuses entités.

La réponse de l’État et l’émergence d’un écosystème souverain

Conscient du danger, le gouvernement a réagi. Le ministre de l’Action et des Comptes publics, David Amiel, a annoncé le lancement d’une négociation sociale inédite sur l’IA dans la fonction publique, visant un accord d’ici l’automne 2026. En parallèle, l’État expérimente une solution souveraine basée sur la technologie de Mistral AI, mais son accès est pour l’heure réservé à 10 000 agents de ministères. Les collectivités, elles, attendent.

Face à ce vide, un écosystème technologique français et européen commence à proposer des solutions. Plutôt que d’interdire, ces outils permettent d’encadrer les usages de l’IA par les agents. Ils offrent la possibilité de cartographier les pratiques, de protéger les données sensibles à la source et d’orienter les agents vers des outils conformes et sécurisés.

Pour Etienne Delouvrier, cette effervescence incontrôlée n’est pas un signe de retard, mais d’un décalage.

« Le Shadow AI n’est pas le symptôme d’une fonction publique territoriale dépassée. Il est le symptôme d’une fonction publique territoriale en avance sur sa propre gouvernance », analyse-t-il.

C’est donc un défi majeur qui se pose aux acteurs français de la cybersécurité : fournir rapidement des outils souverains, simples et efficaces pour accompagner cette transformation déjà en marche, avant que les risques ne deviennent systémiques.

_Sources complémentaires :_

– _Enquête sur l’usage de l’IA par les fonctionnaires : https://www.lejourguinee.com/la-moitie-des-fonctionnaires-francais-utilisent-deja-chatgpt-en-cachette-le-gouvernement-lance-une-negociation-durgence/_

– _Panorama de la cybermenace 2025 de l’ANSSI : https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/_

– _Rapport de la Cour des comptes : https://www.banquedesterritoires.fr/les-cyberattaques-ciblent-de-plus-en-plus-les-collectivites-alerte-un-rapport-de-la-cour-des_

via Presse Agence (rédigé à partir d’un communiqué de presse transmis à la rédaction).