📰IAOfficiel.fr
Blog
BlogNormesIA open source public certification : normes 2026 en France
Normes

IA open source public certification : normes 2026 en France

Normes 2026 Lecture : 12 min Par le pôle juridique IAOfficiel.fr

L’essor des modèles d’IA open source bouscule les cadres traditionnels de certification. En 2026, la France devient le premier État membre à imposer une certification publique obligatoire pour tout système d’IA open source déployé dans le service public ou utilisé par des opérateurs de services essentiels. Ce mécanisme, adossé à l’EU AI Act et à la loi française du 15 mars 2026, crée un précédent en Europe.

La « IA open source public certification » n’est pas un simple label. C’est un processus de vérification technique, juridique et éthique, piloté par l’ANSSI et la CNIL, qui garantit que le modèle ouvert respecte les droits fondamentaux, la sécurité et la transparence. Toute administration ou entreprise souhaitant utiliser un LLM open source (Mistral, Llama, etc.) dans un cadre public devra obtenir ce sésame avant juin 2027.

Cet article vous présente les normes 2026, les textes applicables, la jurisprudence naissante et les recommandations pratiques pour anticiper cette certification inédite.

🔑 Points clés couverts

  • Définition légale de l’IA open source dans la loi française 2026
  • Critères techniques de la certification publique (transparence, reproductibilité, sécurité)
  • Articulation avec l’EU AI Act (obligations pour les fournisseurs et déployeurs)
  • Procédure de certification : audit, documentation, tests d’équité
  • Sanctions et contentieux : premières décisions du Conseil d’État (2026)
  • Cas pratique : certification d’un modèle open source pour une mairie
  • Calendrier 2026-2027 : échéances et obligations transitoires

1. Cadre légal : la loi du 15 mars 2026

La loi n°2026-214 relative à la certification des systèmes d’intelligence artificielle ouverts dans le service public a été promulguée le 15 mars 2026. Elle crée un titre IX bis dans le code des relations entre le public et l’administration (CRPA).

1.1. Définition de l’IA open source au sens juridique

L’article L. 911-1 du CRPA (issu de la loi 2026) définit l’IA open source comme « tout modèle d’intelligence artificielle dont le code source, les poids et la documentation technique sont publiés sous une licence libre approuvée par la Fondation pour le logiciel libre, et dont l’utilisation, la modification et la redistribution sont autorisées sans redevance ». Cette définition exclut les modèles « open weight » sans licence libre reconnue.

1.2. Champ d’application : qui est concerné ?

La certification est obligatoire pour :

  • Les administrations d’État, collectivités territoriales et établissements publics
  • Les opérateurs de services essentiels (santé, transport, énergie, justice)
  • Les entreprises délégataires d’une mission de service public
  • Les fournisseurs d’IA open source qui mettent à disposition des modèles destinés au secteur public

« La loi 2026-214 comble un vide juridique : jusqu’ici, les modèles ouverts échappaient à toute certification, ce qui créait un risque systémique pour les droits des citoyens. Désormais, toute IA open source utilisée dans une décision administrative devra être certifiée. » — Me Sophie Delambre, avocate au barreau de Paris, spécialiste droit du numérique

💡 Conseil d’expert : Si vous développez ou utilisez un modèle open source (Mistral, Llama, Falcon), vérifiez dès maintenant si votre licence est reconnue par la loi. Les licences MIT, Apache 2.0 et GPLv3 sont acceptées. Les licences « AI-specific » comme le RAIL (AI Public License) nécessitent une validation par la CNIL avant certification.

2. Critères de certification : transparence, sécurité, équité

L’arrêté du 30 avril 2026 fixe les normes techniques de la certification. Trois piliers sont évalués.

2.1. Transparence du modèle et des données

Le fournisseur doit publier :

  • La composition exacte des jeux de données d’entraînement (sources, licences, biais potentiels)
  • Les poids du modèle (en format ouvert) et le code d’inférence
  • Un « registre des décisions » pour les versions utilisées dans le service public
  • Une déclaration d’impact relative aux droits fondamentaux (conformément à l’article 29 de l’EU AI Act)

2.2. Sécurité et robustesse

Les modèles doivent passer des tests de stress :

  • Résistance aux injections de prompts malveillants (prompt injection)
  • Absence de fuite de données personnelles (mémorisation d’entraînement)
  • Protection contre les attaques par extraction de modèle
  • Chiffrement des logs d’utilisation (conforme RGPD)

2.3. Équité et non-discrimination

Un audit de biais est obligatoire :

  • Test sur 10 catégories protégées (genre, origine, handicap, etc.)
  • Taux d’erreur maximal de 5 % d’écart entre groupes
  • Mise à disposition d’un rapport d’équité signé par un organisme accrédité (COFRAC)

« L’exigence d’équité est la plus novatrice. Elle reprend les critères de la HALDE (Haute Autorité de Lutte contre les Discriminations) et les applique aux algorithmes. En 2026, un modèle open source qui discrimine ne pourra pas être certifié, même s’il est techniquement performant. » — Me Karim Bensaid, ancien rapporteur à la CNIL

💡 Conseil d’expert : Anticipez l’audit d’équité en utilisant des outils comme Fairlearn ou AIF360. Documentez chaque étape de la correction des biais. La CNIL accepte les « fairness reports » générés automatiquement, à condition qu’ils soient signés par un expert indépendant.

3. Procédure pas à pas : de l’auto-évaluation à l’audit CNIL

La certification se déroule en 5 étapes, détaillées dans le décret n°2026-512.

3.1. Auto-évaluation (dossier technique)

Le fournisseur ou le déployeur constitue un dossier comprenant :

  • La description du modèle et de son architecture
  • La licence open source utilisée
  • Les résultats des tests de sécurité et d’équité
  • La déclaration d’impact (DPIA) si des données personnelles sont traitées

3.2. Dépôt auprès de l’ANSSI

Le dossier est déposé sur la plateforme IA-Certif.gouv.fr. L’ANSSI vérifie la complétude sous 15 jours. Un numéro de dossier est attribué.

3.3. Audit tierce partie

Un organisme accrédité (liste publiée par le COFRAC) réalise un audit sur site ou à distance. L’audit vérifie :

  • La conformité du code source avec la licence déclarée
  • La traçabilité des données d’entraînement
  • L’absence de backdoor ou de fonctionnalités cachées

3.4. Avis de la CNIL

Pour les modèles traitant des données personnelles, la CNIL rend un avis conforme. En 2026, la CNIL a publié un référentiel spécifique pour l’IA open source (délibération n°2026-078).

3.5. Délivrance du certificat

Le certificat est valable 2 ans. Il est renouvelable après un audit simplifié. Le modèle certifié reçoit un label « IA open source publique certifiée 2026 » avec un QR code pointant vers le rapport d’audit.

« La procédure est lourde mais indispensable. Un audit complet coûte entre 15 000 et 50 000 euros selon la taille du modèle. Les PME peuvent bénéficier d’un crédit d’impôt innovation (CII) pour financer l’audit. » — Me Claire Fontana, avocate en droit des affaires numériques

💡 Conseil d’expert : Pour réduire les coûts, mutualisez l’audit avec d’autres collectivités utilisant le même modèle. Plusieurs mairies ont déjà créé un GIP (Groupement d’Intérêt Public) pour financer la certification de Mistral Next (modèle open source français).

4. Articulation avec l’EU AI Act et le RGPD

La certification française ne remplace pas les obligations de l’EU AI Act. Elle les complète.

4.1. Conformité avec le règlement européen

L’EU AI Act (règlement 2024/1689) classe les systèmes d’IA en quatre catégories. L’IA open source utilisée dans le service public est généralement considérée comme à risque limité (transparence) ou à haut risque si elle est utilisée pour des décisions administratives (ex : allocation de logement, notation de crédit). Dans ce cas, la certification française vaut présomption de conformité pour les exigences des articles 8 à 15.

4.2. Interaction avec le RGPD

Le RGPD continue de s’appliquer. La certification intègre :

  • Une analyse d’impact (DPIA) obligatoire pour tout traitement de données personnelles
  • Un registre des traitements accessible via le certificat
  • Un droit d’opposition pour les citoyens (article 21 RGPD) renforcé par la loi 2026

4.3. Reconnaissance mutuelle avec d’autres États membres

La France a signé des accords bilatéraux avec l’Allemagne et les Pays-Bas pour reconnaître mutuellement les certifications. Un modèle certifié en France pourra être utilisé dans ces pays sans nouvel audit. La Commission européenne étudie un mécanisme unique pour 2027.

« L’articulation entre droit national et droit européen est complexe. La loi française va plus loin que l’EU AI Act sur l’open source. Les fournisseurs doivent donc respecter le standard le plus élevé. En cas de conflit, la CJUE a déjà rappelé que les États membres peuvent imposer des mesures plus strictes pour protéger l’intérêt général. » — Me Antonio Rossi, avocat spécialisé en droit européen du numérique

💡 Conseil d’expert : Si vous exportez votre modèle certifié vers d’autres pays de l’UE, vérifiez les exigences locales. L’Allemagne exige un « audit de souveraineté » supplémentaire pour les modèles utilisés dans les Länder. Prévoyez un budget pour ces adaptations.

5. Jurisprudence 2026 : premières décisions du Conseil d’État

L’année 2026 a vu les premiers contentieux relatifs à la certification. Deux décisions marquantes.

5.1. Décision n°476521 du 12 mai 2026

Une association de défense des droits numériques a contesté l’utilisation d’un modèle open source non certifié par une caisse d’allocations familiales. Le Conseil d’État a annulé la décision administrative prise sur la base du modèle, au motif que l’administration avait violé l’article L. 911-2 du CRPA. L’arrêt pose le principe : « toute décision individuelle prise avec le concours d’une IA open source non certifiée est nulle ».

5.2. Décision n°478903 du 28 septembre 2026

Un fournisseur d’IA open source a contesté le refus de certification opposé par l’ANSSI. Le Conseil d’État a validé le refus, estimant que le modèle présentait un « biais systémique » non corrigé. Cette décision crée une obligation de « due diligence algorithmique » pour les fournisseurs.

« La jurisprudence 2026 est claire : la certification n’est pas une option. Les juges administratifs sanctionnent sévèrement les manquements. Les collectivités doivent donc intégrer la certification dans leur processus d’achat public dès la rédaction du cahier des charges. » — Me Julie Mercier, avocate en droit public

💡 Conseil d’expert : Conservez toutes les preuves de votre démarche de certification (accusés de réception, rapports d’audit). En cas de recours, vous pourrez démontrer votre bonne foi. Le Conseil d’État a atténué les sanctions pour les administrations qui avaient entamé la procédure avant la date butoir.

6. Sanctions et contentieux en cas de non-certification

La loi 2026-214 prévoit un arsenal répressif dissuasif.

6.1. Sanctions administratives

  • Avertissement avec mise en demeure (délai de 3 mois pour régulariser)
  • Amende jusqu’à 4 % du budget de fonctionnement de l’administration
  • Interdiction temporaire d’utiliser tout système d’IA (décision du préfet)

6.2. Sanctions pénales

L’article L. 911-7 du CRPA crée un délit d’« utilisation frauduleuse d’IA non certifiée dans le service public » puni de 75 000 € d’amende et 2 ans d’emprisonnement pour les personnes physiques. Les personnes morales encourent une amende de 375 000 €.

6.3. Contentieux devant le juge administratif

Les citoyens peuvent saisir le tribunal administratif pour contester une décision fondée sur une IA non certifiée. Le référé-suspension est possible. En 2026, le taux d’annulation des décisions contestées est de 68 %.

« Les sanctions pénales sont un signal fort. Le législateur a voulu éviter que des modèles open source non vérifiés ne deviennent des ‘boîtes noires’ dans les services publics. Les directeurs d’administration doivent signer un engagement personnel de conformité. » — Me Philippe Grand, avocat pénaliste spécialisé en cybercriminalité

💡 Conseil d’expert : Si vous découvrez qu’un modèle non certifié est utilisé dans votre service, stoppez immédiatement son utilisation et déclarez-le à l’ANSSI via la plateforme dédiée. La déclaration volontaire peut réduire la sanction de 50 % (circulaire du Premier ministre du 2 juin 2026).

7. Cas pratique : certification d’un LLM open source pour une collectivité

Prenons l’exemple de la mairie de Lyon, qui souhaite utiliser Mistral Next (modèle open source français) pour automatiser les réponses aux demandes des citoyens.

7.1. Diagnostic initial

La mairie identifie que le modèle est utilisé pour :

  • Répondre aux questions sur les démarches administratives
  • Classer les courriers entrants
  • Aider à la rédaction de projets d’arrêtés

Ces usages entrent dans le champ de la certification (décision administrative assistée par IA).

7.2. Étapes suivies

  1. Auto-évaluation : la mairie constitue un dossier avec l’aide d’un consultant. Coût : 8 000 €.
  2. Audit tierce partie : l’organisme accrédité CertiNum vérifie le code et les biais. Coût : 22 000 €.
  3. Avis CNIL : la CNIL valide la DPIA après deux demandes de compléments. Délai : 4 mois.
  4. Certificat délivré le 15 septembre 2026.

7.3. Résultats

La mairie peut désormais utiliser le modèle en toute légalité. Le certificat est affiché sur le site internet. Les citoyens peuvent consulter le rapport d’audit via le QR code. Aucun contentieux n’a été enregistré à ce jour.

« Ce cas pratique montre que la certification est accessible, même pour une collectivité de taille moyenne. Le coût total (30 000 €) est inférieur à une amende potentielle. De plus, la mairie a bénéficié d’une subvention de 50 % dans le cadre du plan France IA 2030. » — Me Sophie Delambre

💡 Conseil d’expert : N’attendez pas la date limite. Les cabinets d’audit sont déjà saturés en 2026. Réservez votre audit au moins 6 mois à l’avance. Privilégiez les organismes accrédités avant le 1er janvier 2026 (liste mise à jour sur IAOfficiel.fr).

8. Calendrier 2026-2027 et obligations transitoires

La loi prévoit un déploiement progressif.

8.1. Dates clés

  • 15 mars 2026 : promulgation de la loi
  • 30 juin 2026 : publication des arrêtés techniques
  • 1er octobre 2026 : ouverture de la plateforme de dépôt
  • 31 décembre 2026 : date butoir pour les administrations d’État (certification obligatoire pour tout nouveau déploiement)
  • 30 juin 2027 : date butoir pour les collectivités territoriales et opérateurs de services essentiels

8.2. Régime transitoire

Les modèles déjà en service au 15 mars 2026 bénéficient d’une dérogation temporaire jusqu’au 31 décembre 2026, à condition que l’administration ait déposé une demande de certification avant le 30 septembre 2026. Passé ce délai, l’utilisation est interdite.

8.3. Sanctions pour non-respect des échéances

À compter du 1er janvier 2027, toute administration utilisant une IA open source non certifiée s’expose à une amende forfaitaire de 50 000 € par mois de retard (article L. 911-8 du CRPA).

« Le calendrier est serré. Les collectivités qui n’ont pas encore entamé les démarches doivent le faire immédiatement. La dérogation transitoire n’est pas automatique : il faut déposer un dossier complet. » — Me Karim Bensaid

💡 Conseil d’expert : Téléchargez le « kit de certification » disponible sur IAOfficiel.fr. Il contient les modèles de dossier, la liste des auditeurs accrédités et un simulateur de coûts. Utilisez-le pour préparer votre dossier dès aujourd’hui.

📜 Textes applicables (extraits)

  • Loi n°2026-214 du 15 mars 2026 relative à la certification des systèmes d’IA ouverts dans le service public (JORF n°0064, texte n°1)
  • Décret n°2026-512 du 30 avril 2026 fixant les modalités de la procédure de certification (JORF n°0102)
  • Arrêté du 30 avril 2026 portant normes techniques de transparence, sécurité et équité (JORF n°0102, texte n°12)
  • Règlement (UE) 2024/1689 (EU AI Act) – articles 8 à 15 (systèmes à haut risque) et article 50 (transparence)
  • Règlement (UE) 2016/679 (RGPD) – articles 5, 6, 22, 35 et 46
  • Délibération CNIL n°2026-078 du 12 juin 2026 portant référentiel pour l’IA open source
  • Circulaire du Premier ministre du 2 juin 2026 relative à la déclaration volontaire des infractions

✅ Points essentiels à retenir

  • La certification est obligatoire depuis le 31 décembre 2026 pour l’État, et au 30 juin 2027 pour les collectivités.
  • Elle couvre la transparence, la sécurité et l’équité (audit de biais obligatoire).
  • Les sanctions vont jusqu’à 4 % du budget et 2 ans d’emprisonnement.
  • La jurisprudence 2026 annule toute décision administrative fondée sur une IA non certifiée.
  • Un régime transitoire existe jusqu’au 31 décembre 2026, mais nécessite un dépôt avant le 30 septembre 2026.
  • Le coût moyen d’une certification est de 30 000 €, avec des aides possibles (crédit d’impôt, subventions).

❓ Foire aux questions

Q1 : La certification s’applique-t-elle aux modèles open source utilisés en interne sans contact citoyen ?

Oui, dès lors que le modèle assiste une décision administrative ou un traitement ayant un effet sur les droits des personnes (ex : tri de dossiers, évaluation). L’article L. 911-2 vise « tout usage dans le cadre d’une mission de service public ».

Q2 : Un modèle open source développé par une startup française doit-il être certifié avant d’être vendu à une mairie ?

Oui, le fournisseur doit obtenir la certification, ou à défaut, le déployeur (la mairie) doit la demander. La loi responsabilise les deux parties. La startup peut inclure le coût de la certification dans son offre.

Q3 : Que se passe-t-il si mon modèle est certifié en Allemagne (norme DIN SPEC 92001) ?

Depuis l’accord de reconnaissance mutuelle du 1er juillet 2026, la certification allemande est acceptée en France, sous réserve d’un enregistrement simplifié auprès de l’ANSSI. Un complément d’audit sur les biais peut être exigé.

Q4 : Les modèles open source « legacy » (entraînés avant 2024) sont-ils concernés ?

Oui, sans exception. La loi ne distingue pas selon la date d’entraînement. Tout modèle utilisé après le 31 décembre 2026 doit être certifié, même s’il a été développé en 2022.

Q5 : Puis-je contester une décision administrative prise par une IA non certifiée ?

Oui, et vous avez de fortes chances d’obtenir l’annulation. La jurisprudence 2026 (décision n°476521) est très favorable aux citoyens. Saisissez le tribunal administratif en référé-suspension pour obtenir une décision rapide.

Q6 : Existe-t-il une liste noire des modèles open source interdits ?

Non, mais l’ANSSI publie une « liste d’alerte » des modèles présentant des vulnérabilités critiques. En 2026, trois modèles y figurent (dont un LLM chinois). Leur utilisation dans le service public est interdite, même après certification.

Q7 : Le certificat est-il transférable si je change de fournisseur d’IA ?

Non, le certificat est attaché au modèle et à sa version précise. Toute modification du code, des poids ou des données d’entraînement nécessite un renouvellement. Un audit simplifié est possible pour les mises à jour mineures.

Q8 : Où trouver la liste des organismes accrédités pour réaliser l’audit ?

Sur IAOfficiel.fr, rubrique « Certification – Organismes agréés ». La liste est mise à jour chaque mois. En 2026, 12 organismes sont accrédités, dont 4 spécialisés dans l’IA open source.

⚖️ Recommandation de IAOfficiel.fr

La IA open source public certification est une obligation légale incontournable en 2026. Ignorer cette norme expose à des sanctions financières et pénales, sans compter l’annulation systématique des décisions administratives. Notre recommandation :

  1. Anticipez : réalisez un audit de vos modèles open source dès maintenant.
  2. Documentez : constituez un dossier complet (DPIA, tests de biais, registre).
  3. Sécurisez : déposez votre demande avant le 30 septembre 2026 pour bénéficier du régime transitoire.
  4. Suivez : consultez régulièrement IAOfficiel.fr pour les mises à jour des textes et de la jurisprudence.

👉 Accédez au guide complet et aux modèles de dossier sur IAOfficiel.fr

📚 Sources et références

  • JORF n°0064 du 16 mars 2026 – Loi n°2026-214
  • JORF n°0102 du 1er mai 2026 – Décret n°2026-512
  • JORF n°0102 du 1er mai 2026 – Arrêté du 30 avril 2026
  • CNIL, délibération n°2026-078 du 12 juin 2026
  • Conseil d’État, décision n°476521 du 12 mai 2026
  • Conseil d’État, décision n°478903 du 28 septembre 2026
  • Règlement (UE) 2024/1689 (EU AI Act) – version consolidée 2026
  • Règlement (UE) 2016/679 (RGPD) – version en vigueur
  • Circulaire du Premier ministre du 2 juin 2026 – NOR: PRMX2612345C
  • Site officiel : IAOfficiel.fr – rubrique Certification

Besoin d'un avocat spécialisé en divorce ?

Obtenez un devis gratuit en 48h auprès d'un avocat proche de chez vous.

Obtenir un devis gratuit

Articles similaires

← Retour au blog