Censure constitutionnelle 2026 : quand la protection des données personnelles bloque l'IA publique française
Le Conseil constitutionnel a censuré en 2026 les dispositions du projet de loi de simplification économique qui visaient à élargir le partage de données entre administrations françaises, bloquant un levier clé pour le déploiement de l'intelligence artificielle publique. Cette décision rappelle que toute dérogation au principe de limitation des finalités doit être strictement encadrée et proportionnée pour résister au contrôle constitutionnel.
Le Conseil constitutionnel a censuré les dispositions du projet de loi « simplification de la vie économique » qui élargissaient les finalités du régime d'échange de données entre administrations, bloquant un levier essentiel au déploiement de l'IA publique en France. Cette décision, rendue au premier semestre 2026, rappelle que la modernisation numérique de l'État se heurte à des garde-fous constitutionnels que le législateur ne peut ignorer. Cet article analyse les enjeux juridiques de cette censure, ses conséquences concrètes pour les projets d'intelligence artificielle portés par les administrations françaises, et les voies alternatives qui s'ouvrent désormais aux décideurs publics.
Contexte juridique
Le régime d'échange de données entre administrations repose sur le principe de la finalité déterminée, encadré par le RGPD et la loi Informatique et Libertés.
La circulation des données entre administrations françaises est régie par un corpus juridique dense. Le principe du « dites-le-nous une fois », consacré par la loi n° 2018-727 du 10 août 2018 pour un État au service d'une société de confiance (dite loi ESSOC), a posé les premières bases d'un partage structuré des données entre entités publiques. Ce principe est codifié à l'article L. 114-8 du Code des relations entre le public et l'administration (CRPA), qui impose aux administrations de s'échanger les informations strictement nécessaires à l'accomplissement d'une mission de service public, sous réserve que le citoyen en ait été informé.
Ce dispositif s'articule avec le Règlement général sur la protection des données (RGPD, Règlement UE 2016/679), dont l'article 5, paragraphe 1, point b), consacre le principe de limitation des finalités : les données personnelles collectées pour une finalité déterminée ne peuvent être réutilisées pour une finalité incompatible. En droit français, ce principe est repris à l'article 4 de la loi n° 78-17 du 6 janvier 1978 dite loi Informatique et Libertés, dans sa version consolidée.
Le projet de loi « simplification de la vie économique », examiné en 2025 et au début de l'année 2026, entendait modifier l'article L. 114-8 du CRPA pour permettre aux administrations d'échanger des données collectées initialement pour une finalité donnée afin de les réutiliser pour des finalités nouvelles — notamment à des fins statistiques, de contrôle ou d'alimentation de systèmes algorithmiques. C'est précisément cet élargissement que le Conseil constitutionnel a censuré.
Analyse approfondie
La censure constitutionnelle sanctionne un cavalier législatif et une atteinte disproportionnée au droit à la protection des données personnelles.
La décision du Conseil constitutionnel
Le Conseil constitutionnel a invalidé les dispositions litigieuses sur deux fondements principaux. D'abord, au titre de l'article 45 de la Constitution, en qualifiant les amendements portant élargissement des finalités de cavaliers législatifs — c'est-à-dire des dispositions sans lien direct avec l'objet initial du texte, qui visait la simplification administrative et non la refonte du régime de la donnée publique. Ensuite, sur le fond, les Sages ont estimé que la rédaction retenue portait une atteinte disproportionnée au droit à la protection des données à caractère personnel, protégé par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 (liberté individuelle) et par l'article 8 de la Charte des droits fondamentaux de l'Union européenne.
Le Conseil a rappelé sa jurisprudence constante selon laquelle toute dérogation au principe de finalité doit répondre à un objectif d'intérêt général suffisant, être strictement nécessaire et comporter des garanties adéquates — conditions que le texte censuré ne remplissait pas faute d'encadrement suffisant des catégories de données concernées, des autorités habilitées et des modalités de contrôle.
L'impact direct sur les projets d'IA publique
C'est ici que la décision prend une dimension stratégique considérable. Les systèmes d'IA, qu'il s'agisse de modèles de traitement automatisé du langage, d'algorithmes de détection de fraude fiscale ou de scoring social dans l'attribution d'aides, nécessitent des volumes massifs de données hétérogènes. Or, l'entraînement et l'alimentation de ces systèmes supposent précisément de croiser des données collectées à des fins distinctes : données fiscales, données de santé, données d'état civil, données de l'assurance chômage.
Selon le rapport de la Direction interministérielle du numérique (DINUM) publié en mars 2026, plus de 40 % des projets d'IA publique identifiés en portefeuille rencontraient un obstacle juridique lié à l'incompatibilité des finalités de traitement. La censure constitutionnelle prive ces projets d'une base légale unifiée qu'ils espéraient trouver dans le projet de loi « simplification ».
Le cadre de l'AI Act européen en toile de fond
L'AI Act (Règlement UE 2024/1689), entré en vigueur en août 2024 et dont les obligations les plus contraignantes s'appliquent progressivement depuis début 2026, classe plusieurs systèmes d'IA utilisés par des administrations publiques dans la catégorie des systèmes à haut risque (Annexe III). Ces systèmes — notamment ceux utilisés dans l'attribution de prestations sociales, le contrôle aux frontières ou le traitement des demandes administratives — sont soumis à des exigences renforcées de traçabilité, de robustesse et de gouvernance des données d'entraînement (Article 10 de l'AI Act). La censure constitutionnelle rend plus difficile la constitution de jeux de données conformes à ces exigences pour les acteurs publics français.
Tableau comparatif : avant et après la censure constitutionnelle
| Critère | Avant censure (projet de loi) | Après censure (droit positif) |
|---|---|---|
| Base légale pour le partage | Élargie par la loi | Art. L. 114-8 CRPA limité |
| Finalités autorisées | Nouvelles finalités publiques | Finalité initiale uniquement |
| Alimentation systèmes IA | Facilitée | Au cas par cas, encadrée |
| Contrôle CNIL | Allégé (déclaration) | Autorisation préalable requise |
| Conformité AI Act | Simplifiée | Complexifiée |
Implications pratiques
Cette censure oblige les administrations à réorienter leurs stratégies de données vers des bases légales alternatives, au prix d'une complexité juridique accrue.
Pour les administrations et les DSI publiques
Les directions des systèmes d'information (DSI) des ministères et des opérateurs publics doivent désormais envisager plusieurs scenarii :
- Le recours au consentement (article 6, paragraphe 1, point a) du RGPD) : difficile à mettre en œuvre à grande échelle dans un contexte de service public où la relation n'est pas symétrique.
- La base de l'intérêt public (article 6, paragraphe 1, point e) du RGPD) : applicable, mais elle requiert une base juridique nationale explicite pour chaque traitement, ce que la censure empêche précisément de généraliser.
- Les dérogations sectorielles : certains textes spéciaux permettent déjà des croisements de données dans des domaines précis (lutte contre la fraude fiscale avec l'article L. 135 ZE du Livre des procédures fiscales, données de santé via le Système national des données de santé — SNDS). Ces mécanismes sectoriels demeurent valides mais fragmentent la gouvernance.
- Le recours à des données anonymisées ou pseudonymisées pour l'entraînement des IA : solution conforme mais qui diminue la précision des modèles.
Pour les citoyens et la société civile
Paradoxalement, la censure peut être perçue comme une protection renforcée des droits fondamentaux dans un contexte où la méfiance envers les usages administratifs des algorithmes demeure forte. Selon le baromètre du numérique publié par l'Arcep et l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) en janvier 2026, 63 % des Français se déclarent préoccupés par l'utilisation de leurs données personnelles par les administrations. La décision du Conseil constitutionnel répond objectivement à cette inquiétude.
Deux perspectives en tension
Perspective "efficacité publique" : L'IA pourrait permettre d'automatiser la détection des non-recours aux droits sociaux, d'améliorer la personnalisation des services publics et de réduire les délais de traitement administratif. Sans base de données interopérable, ces gains sont différés ou impossibles.
Perspective "droits fondamentaux" : Un État disposant d'une capacité illimitée à croiser des données sur ses citoyens représente un risque systémique pour les libertés publiques. La limitation des finalités n'est pas un obstacle bureaucratique : c'est un rempart contre la surveillance administrative généralisée.
Points clés à retenir
- Le Conseil constitutionnel a censuré les dispositions du projet de loi « simplification de la vie économique » élargissant les finalités d'échange de données entre administrations, au motif de cavalier législatif et d'atteinte disproportionnée à la protection des données personnelles.
- Le principe de limitation des finalités, consacré par l'article 5 du RGPD et l'article 4 de la loi Informatique et Libertés, constitue un verrou constitutionnel que le législateur ordinaire ne peut lever sans garanties suffisantes.
- L'article L. 114-8 du CRPA reste la norme de référence, dans sa version antérieure au projet de loi censuré, avec ses restrictions sur la réutilisation des données.
- Plus de 40 % des projets d'IA publique en portefeuille à la DINUM se heurtaient à un obstacle juridique lié à la finalité des traitements, selon le rapport DINUM de mars 2026.
- L'AI Act, applicable en 2026 pour les systèmes à haut risque, renforce les exigences de gouvernance des données d'entraînement, rendant le vide juridique encore plus pénalisant.
- Des bases légales alternatives existent (intérêt public, dérogations sectorielles, anonymisation) mais elles impliquent une complexité juridique accrue et une gouvernance fragmentée.
- Le législateur devra reprendre ce chantier dans un texte dédié, avec un encadrement plus précis des catégories de données, des autorités compétentes et des mécanismes de contrôle, pour satisfaire aux exigences constitutionnelles.
Questions fréquentes
Pourquoi le Conseil constitutionnel a-t-il censuré cet article du projet de loi « simplification » ?
Le Conseil constitutionnel a retenu deux motifs : l'introduction par voie d'amendement de dispositions sans lien avec l'objet du texte (cavalier législatif, au sens de l'article 45 de la Constitution), et une atteinte disproportionnée au droit à la protection des données personnelles faute de garanties suffisantes. Le texte ne précisait pas suffisamment les catégories de données concernées, les administrations habilitées ni les mécanismes de contrôle.
Qu'est-ce que le principe de limitation des finalités et pourquoi est-il si contraignant pour l'IA ?
Le principe de limitation des finalités signifie que des données collectées pour un but précis ne peuvent être réutilisées pour un but différent et incompatible. Pour l'IA, qui nécessite de croiser des données hétérogènes pour entraîner des modèles performants, ce principe impose de justifier juridiquement chaque nouvel usage — ce qui freine la constitution de larges jeux de données publiques.
Quelles administrations sont les plus impactées par cette censure ?
Les administrations les plus affectées sont celles qui portaient des projets d'IA inter-ministériels : la Direction générale des finances publiques (DGFiP) pour la détection de fraude, la Caisse nationale des allocations familiales (Cnaf) pour l'optimisation de l'attribution des aides, et les préfectures pour l'instruction automatisée de certaines demandes. Tous ces acteurs devront désormais justifier cas par cas leurs traitements croisés.
L'AI Act européen impose-t-il des obligations spécifiques sur les données d'entraînement des IA publiques ?
Oui. L'article 10 de l'AI Act (Règlement UE 2024/1689, entré en vigueur en août 2024) impose aux fournisseurs de systèmes d'IA à haut risque des pratiques de gouvernance des données incluant l'examen des biais potentiels, la vérification de la licéité des données d'entraînement et leur pertinence au regard de la finalité du système. La censure constitutionnelle rend plus difficile la constitution de tels jeux de données licites pour les opérateurs publics français.
Existe-t-il des alternatives légales pour les administrations qui souhaitent déployer de l'IA malgré cette censure ?
Oui, plusieurs pistes existent. Les administrations peuvent s'appuyer sur des dérogations sectorielles déjà prévues par la loi (SNDS pour la santé, article L. 135 ZE du LPF pour la fraude fiscale), recourir à l'anonymisation ou à la pseudonymisation des données d'entraînement, ou solliciter la CNIL pour des autorisations spécifiques sur le fondement de l'intérêt public. Ces voies sont toutefois plus complexes et plus lentes qu'un régime général.
La CNIL peut-elle jouer un rôle pour débloquer la situation ?
La CNIL peut accompagner les administrations via ses procédures d'autorisation et ses référentiels sectoriels, mais elle ne peut pas créer une base légale là où le législateur a été censuré. Son rôle reste celui d'un régulateur et non d'un législateur de substitution. Elle peut en revanche publier des lignes directrices sur les conditions dans lesquelles les finalités de recherche ou de statistique publique peuvent justifier la réutilisation de données administratives.
Le législateur peut-il reprendre ce chantier dans un futur texte ?
Absolument. La censure ne ferme pas définitivement la voie à un élargissement du régime d'échange de données — elle exige simplement que cet élargissement soit opéré dans un texte législatif dédié, avec un encadrement rigoureux : définition précise des catégories de données, liste limitative des administrations habilitées, durée de conservation, mécanismes de contrôle indépendant et information préalable des personnes concernées. Un tel texte, bien rédigé, serait constitutionnellement solide.
Quel est le lien entre cette censure et la souveraineté numérique de la France ?
La question de la souveraineté numérique est directement posée : sans capacité à constituer des jeux de données massifs et interopérables, les administrations françaises risquent de se tourner vers des solutions d'IA développées à partir de données étrangères, réduisant leur maîtrise des systèmes déployés. La tension entre protection des données et compétitivité technologique de l'État est au cœur de ce dossier et appellera une réponse législative dans les mois à venir.
Questions fréquentes
- Pourquoi le Conseil constitutionnel a-t-il censuré les dispositions sur l'échange de données entre administrations ?
- Le Conseil constitutionnel a invalidé ces dispositions pour deux raisons : elles constituaient des cavaliers législatifs sans lien avec l'objet du texte (article 45 de la Constitution), et elles portaient une atteinte disproportionnée au droit à la protection des données personnelles, faute de garanties suffisantes sur les catégories de données, les autorités habilitées et les modalités de contrôle.
- Qu'est-ce que le principe de limitation des finalités et pourquoi est-il central dans cette affaire ?
- Le principe de limitation des finalités, consacré par l'article 5 du RGPD et repris à l'article 4 de la loi Informatique et Libertés, interdit de réutiliser des données personnelles pour une finalité incompatible avec celle pour laquelle elles ont été collectées. C'est précisément cet principe que le projet de loi entendait contourner en autorisant les administrations à réutiliser leurs données pour alimenter des systèmes algorithmiques.
- Qu'est-ce qu'un cavalier législatif et en quoi le texte censuré en constituait-il un ?
- Un cavalier législatif est une disposition introduite dans un texte de loi sans lien direct avec son objet initial. En l'espèce, les amendements élargissant les finalités d'échange de données ont été jugés sans rapport avec un projet de loi consacré à la simplification administrative, justifiant leur invalidation sur le fondement de l'article 45 de la Constitution.
- Quelles sont les conséquences concrètes de cette censure pour les projets d'IA portés par les administrations françaises ?
- La censure prive les administrations d'un levier législatif clé pour croiser et réutiliser leurs bases de données à des fins d'entraînement ou d'alimentation de systèmes d'IA. Les projets nécessitant l'agrégation de données issues de sources administratives diverses doivent désormais trouver des fondements juridiques alternatifs conformes au RGPD et à la Constitution.
- Quelles voies alternatives s'offrent aux administrations pour développer l'IA publique après cette censure ?
- Les administrations peuvent notamment recourir à des données anonymisées ou pseudonymisées, s'appuyer sur des bases légales existantes comme la mission d'intérêt public (article 6 e) du RGPD), solliciter un encadrement législatif dédié avec des garanties renforcées validées par la CNIL, ou recourir au cadre du règlement européen sur l'IA (AI Act) pour structurer leurs projets dans le respect des exigences constitutionnelles.