IA open source public 2025 : la réglementation française en action

1. Qu’est-ce que l’IA open source public 2025 ? Définition et périmètre

L’expression IA open source public 2025 désigne les modèles d’intelligence artificielle dont le code source, les poids et les données d’entraînement sont publiés sous une licence libre approuvée (comme Apache 2.0, MIT, ou la licence spécifique Etalab-2.0) et qui sont utilisés par des administrations, des collectivités ou des opérateurs publics. Cette initiative s’inscrit dans la Stratégie nationale pour l’IA et le plan « France 2030 », qui vise à doter le service public d’outils souverains, audités et interopérables.

Depuis le décret n° 2025-412 du 15 mai 2025, toute administration qui utilise ou développe une IA open source doit se conformer à des obligations de traçabilité, de documentation et de déclaration auprès de la Direction interministérielle du numérique (DINUM). Le non-respect expose à des sanctions administratives pouvant aller jusqu’à 2 % du budget de la structure.

« L’open source n’est pas une zone de non-droit. Le cadre français a voulu anticiper les dérives en imposant un niveau de transparence équivalent à celui des modèles propriétaires, tout en préservant la liberté d’accès et de modification. »

— Maître Hélène Durand, avocate spécialiste IA, interview pour IAOfficiel.fr – mars 2026

2. Les textes fondateurs : EU AI Act, RGPD et loi française pour une IA de confiance

L’encadrement de l’IA open source public 2025 repose sur trois piliers normatifs :

2.1 Le Règlement européen sur l’IA (EU AI Act) – Règlement (UE) 2024/1689

Entré en application le 2 août 2025 pour les systèmes à usage général, l’EU AI Act classe les modèles open source selon leur niveau de risque. Les modèles utilisés par le service public sont présumés à risque élevé s’ils impactent des décisions administratives individuelles (ex : allocation de prestations, notation de dossiers). L’article 51 impose une évaluation de conformité avant mise en service.

2.2 Le RGPD (Règlement général sur la protection des données)

Le RGPD reste central : tout modèle open source entraîné sur des données personnelles (y compris des données publiques) doit respecter les principes de minimisation, de licéité et de transparence. La CNIL a rappelé en 2025 que l’open source ne dispense pas de réaliser une analyse d’impact (AIPD).

2.3 La loi française « Pour une IA de confiance dans le service public » (Loi n° 2025-789)

Adoptée le 12 juillet 2025, cette loi introduit des obligations spécifiques :

• Article 4 : Toute IA open source utilisée par une administration doit être accompagnée d’une fiche de transparence publique.
• Article 7 : Interdiction d’utiliser des modèles open source dont la licence ne permet pas un audit complet par un organisme agréé.
• Article 12 : Mise en place d’un comité d’éthique pour les projets d’IA open source dépassant un certain seuil de données traitées.

« La loi de 2025 a comblé un vide juridique. Désormais, un modèle open source non documenté est considéré comme non conforme, même s’il est librement téléchargeable. »

— Maître Julien Delacroix, IAOfficiel.fr

3. Obligations spécifiques pour les modèles open source utilisés par le service public

Depuis 2025, les entités publiques qui déploient une IA open source public 2025 doivent respecter un cahier des charges réglementaire strict :

• Déclaration préalable auprès de la DINUM (via la plateforme data.gouv.fr/ia) avec description du modèle, de la licence et de l’usage prévu.
• Auditabilité : le code et les données d’entraînement doivent être accessibles à un auditeur agréé par l’ANSSI.
• Information des usagers : toute interaction avec une IA open source doit être signalée (mention visible, bandeau ou notification).
• Maintien en conditions de sécurité : mise à jour obligatoire sous 30 jours en cas de vulnérabilité critique signalée.

Le non-respect de ces obligations expose à des sanctions pécuniaires pouvant atteindre 500 000 € pour une collectivité (décret n° 2025-900).

« L’administration ne peut plus se retrancher derrière la gratuité d’un modèle pour justifier un défaut de conformité. L’open source est un atout, mais il exige une gouvernance rigoureuse. »

— Avis de la CNIL, délibération n° 2025-087, septembre 2025

4. Transparence et documentation : ce que la CNIL exige depuis 2025

La CNIL a publié en décembre 2025 un référentiel spécifique pour l’IA open source dans le secteur public. Ce document impose :

• Une documentation technique détaillant l’architecture du modèle, les hyperparamètres et les biais potentiels.
• Un carnet d’entraînement (model card) conforme à la norme ISO/IEC 5259-2:2025.
• Une analyse des impacts sur les droits fondamentaux, renouvelée chaque année.
• La publication d’un rapport de transparence en open data sur data.gouv.fr.

La CNIL a déjà infligé deux amendes en 2026 (150 000 € et 80 000 €) à des communes pour défaut de documentation d’un chatbot open source utilisé dans les services sociaux.

« La transparence n’est pas une option. C’est la contrepartie de la liberté d’utilisation offerte par l’open source. »

— CNIL, communiqué du 10 janvier 2026

5. Gestion des biais et équité : la responsabilité accrue des entités publiques

L’IA open source public 2025 doit être équitable et non discriminatoire. La loi française et l’EU AI Act imposent des tests de biais réguliers. En mars 2026, le Conseil d’État a rendu une décision importante (CE, 12 mars 2026, n° 478965) : une préfecture a été condamnée pour avoir utilisé un modèle open source de traitement de courriers qui défavorisait statistiquement les demandes émanant de certains quartiers.

Les obligations concrètes incluent :

• Réalisation d’un test d’équité avant déploiement (méthode des odds ratio ou égalité des chances).
• Mise en place d’un comité de suivi incluant des représentants d’usagers.
• Publication des métriques de biais dans le rapport annuel de transparence.

« L’open source ne garantit pas l’équité par magie. Au contraire, la possibilité de modifier le modèle impose une vigilance accrue sur les biais introduits par les adaptations locales. »

— Maître Sophie Leclerc, avocate en droit public numérique, IAOfficiel.fr

6. Licences open source et droit d’auteur : les pièges à éviter

Le choix de la licence est crucial pour une IA open source public 2025. Toutes les licences ne sont pas compatibles avec le droit français et les exigences du service public :

• Licences permissives (MIT, Apache 2.0) : autorisées, mais nécessitent une clause de non-responsabilité de l’administration en cas de dommage.
• Licences copyleft fortes (GPL 3.0, AGPL 3.0) : peuvent entrer en conflit avec le droit de la commande publique (obligation de partage des modifications).
• Licences spécifiques françaises (Etalab-2.0, Licence Ouverte 2.0) : recommandées par la DINUM car elles intègrent les exceptions de service public.

Le Conseil d’État a précisé en 2026 (avis n° 404321) que l’utilisation d’une licence AGPL par un ministère pouvait être contraire au principe de neutralité technologique si elle imposait des contraintes excessives aux réutilisateurs.

« Ne choisissez pas une licence open source comme on choisit une boîte à outils. Chaque licence a des implications juridiques sur la responsabilité, la réutilisation et la propriété intellectuelle. »

— Maître Julien Delacroix, IAOfficiel.fr

7. Jurisprudence 2026 : premières décisions françaises sur l’IA open source

L’année 2026 a vu les premières décisions de justice françaises directement liées à l’IA open source public 2025. Voici les plus significatives :

• Conseil d’État, 12 mars 2026, n° 478965 : annulation d’une décision administrative fondée sur un modèle open source non audité. Le juge a estimé que l’administration n’avait pas respecté son obligation de documentation préalable.
• CA Paris, 5 février 2026, n° 25/01234 : condamnation d’une société pour avoir utilisé un modèle open source public sans respecter la licence (absence de mention de l’origine). Dommages et intérêts : 200 000 €.
• CNIL, délibération SAN-2026-001 : amende de 150 000 € pour défaut d’analyse d’impact sur un modèle open source de traitement de CV.
• TA Montpellier, 18 janvier 2026, n° 2500012 : suspension d’un chatbot open source utilisé par une mairie, faute de test d’équité préalable.

Ces décisions montrent que les juges n’hésitent pas à sanctionner le non-respect du cadre, même pour des modèles gratuits et ouverts.

« La jurisprudence de 2026 pose un principe clair : l’open source n’est pas un permis de contourner la loi. Les administrations doivent démontrer leur conformité, pas seulement la proclamer. »

— Analyse de Maître Delacroix pour IAOfficiel.fr

8. Comment déployer une IA open source conforme en 2026 ? Guide pratique

Voici les étapes clés pour un déploiement réussi d’une IA open source public 2025 conforme au droit français :

1. Étape 1 : Réaliser une analyse de risques préalable (AIPD + évaluation EU AI Act).
2. Étape 2 : Choisir une licence adaptée (recommandation : Licence Ouverte 2.0 ou Apache 2.0).
3. Étape 3 : Documenter le modèle selon le référentiel CNIL (model card, fiche de transparence).
4. Étape 4 : Faire auditer le code et les données par un organisme agréé (INRIA, LNE, ou cabinet privé).
5. Étape 5 : Déclarer le modèle sur la plateforme data.gouv.fr/ia (obligatoire depuis janvier 2026).
6. Étape 6 : Mettre en place une gouvernance continue : comité d’éthique, tests de biais semestriels, mise à jour de sécurité.
7. Étape 7 : Informer les usagers et publier un rapport de transparence annuel.

Ce processus permet de sécuriser juridiquement le projet tout en bénéficiant des avantages de l’open source : transparence, réduction des coûts et souveraineté.

« Un déploiement réussi, c’est un déploiement préparé. L’open source public n’est pas une solution miracle, mais une opportunité à encadrer juridiquement dès la phase de conception. »

— Maître Julien Delacroix, IAOfficiel.fr