Durée totale : 3 heures | Modalité : 4 micro-conférences + débats en breakouts
Mouvements DPA : Discerner
À l'issue de cette session, les participant·es sauront : - Énoncer les obligations RGPD d'une structure associative utilisant l'IA - Donner l'ordre de grandeur de l'impact environnemental de l'IA générative - Expliquer pourquoi la souveraineté des données est un enjeu pour leurs structures - Identifier les risques de l'IA pour le débat démocratique
| Tranche | Durée | Contenu |
|---|---|---|
| 0:00 – 0:25 | 25 min | Micro-conférence 1 : RGPD et IA |
| 0:25 – 0:50 | 25 min | Micro-conférence 2 : Écologie |
| 0:50 – 1:15 | 25 min | Micro-conférence 3 : Souveraineté |
| 1:15 – 1:40 | 25 min | Micro-conférence 4 : Démocratie |
| 1:40 – 2:55 | 75 min | Débats en breakouts thématiques |
| 2:55 – 3:00 | 15 min | Grille de décision + clôture |
Question : "Dans votre structure, avez-vous déjà intégré une IA générative dans vos outils de travail ?" - Oui, officiellement - Oui, mais à titre personnel seulement - Non, mais certains collègues peut-être - Non et nous avons une position claire là-dessus
Les 5 obligations fondamentales :
1. La base légale :
Pour traiter des données via une IA, votre structure a besoin d'une base légale (consentement, intérêt légitime, obligation légale, contrat...). Utiliser un outil IA avec des données de bénéficiaires sans base légale explicite = violation du RGPD.
2. La minimisation des données :
On ne met dans un prompt IA que ce qui est strictement nécessaire. Pas de données de santé, pas d'informations sensibles sur les familles, pas de données personnelles identifiantes sans nécessité absolue.
3. L'information des personnes concernées :
Si vous utilisez une IA pour traiter des données sur des bénéficiaires (ex: automatiser la gestion des inscriptions), ces personnes doivent en être informées. Votre politique de confidentialité doit mentionner l'usage d'IA.
4. La sous-traitance :
Les outils IA grand public (ChatGPT, Gemini...) sont des sous-traitants. Leur DPA (Data Processing Agreement) est-il conforme RGPD ? Souvent non pour les versions gratuites. Les versions entreprises (Microsoft 365 Copilot, Google Workspace for Business) ont généralement des DPA conformes.
5. L'AI Act (en vigueur depuis 2024) :
Le règlement européen classe les IA par niveau de risque. Pour les associations, les implications principales :
- Interdiction d'utiliser des IA de scoring social ou de reconnaissance faciale dans des espaces publics.
- Obligation de transparence quand un humain interagit avec un chatbot IA (il doit savoir qu'il parle à une machine).
- Les IA dans l'éducation et l'emploi sont classées "haut risque" et soumises à des exigences spécifiques.
"Un outil de gestion associative propose d'intégrer une IA qui analyse automatiquement les dossiers de demandeurs d'aide alimentaire pour prioriser les attributions. Il est gratuit et développé par une entreprise américaine. Qu'est-ce que vous faites ?"
Recueillez les premières réactions (sondage ou chat). Ne donnez pas de réponse définitive — c'est pour les breakouts.
Question : "Selon vous, quel est l'impact environnemental de votre usage d'une IA par rapport à une recherche Google ?" - Beaucoup moins - À peu près pareil - Beaucoup plus - Je ne sais pas
Les ordres de grandeur (chiffres à actualiser selon les dernières publications disponibles) :
| Action | Équivalent en eau | Équivalent CO₂ |
|---|---|---|
| 1 conversation ChatGPT (25 échanges) | ~500 ml d'eau (refroidissement) | ~4g CO₂ |
| 1 heure de navigation web classique | ~10 ml | ~0.5g CO₂ |
| 1 génération d'image IA | ~4 litres d'eau | ~2g CO₂ |
| Entraînement de GPT-4 (une fois) | Estimé 700 000 litres d'eau | ~500 tonnes CO₂ |
Note formateur : Ces chiffres sont des estimations issues d'études académiques (Li et al., 2023). Ils varient selon les sources et les modèles. L'important est l'ordre de grandeur, pas la précision.
Pourquoi c'est important pour une association :
Les leviers de sobriété :
"Votre fédération vous demande de réduire l'empreinte numérique de votre structure. Par quoi commencez-vous ? Et est-ce que l'IA est dans votre liste de priorités ?"
Question : "Savez-vous où sont hébergées les données que vous mettez dans les outils IA que vous utilisez ?" - Oui, dans l'UE - Oui, aux États-Unis - Non, je ne sais pas - Je n'y avais jamais pensé
Le Cloud Act (2018) :
Loi américaine qui oblige les entreprises américaines (Google, Microsoft, Amazon, OpenAI...) à fournir aux autorités américaines les données stockées sur leurs serveurs, quel que soit le pays où sont stockées ces données, sur simple demande judiciaire.
Ce que ça veut dire pour votre association :
Si vous utilisez ChatGPT, Google Gemini, ou un outil hébergé sur AWS/Azure/Google Cloud (même avec serveurs en Europe), vos données sont potentiellement accessibles aux autorités américaines.
Ce qui est vraiment en jeu : - Pas un risque direct pour la plupart des associations (vos données ne sont probablement pas d'intérêt stratégique pour la NSA). - Mais un principe : la souveraineté des données, c'est le droit de décider qui y a accès. - Et pour des structures travaillant avec des publics vulnérables (jeunes sous protection, mineurs non accompagnés, personnes en situation irrégulière), le risque n'est pas théorique.
Les alternatives européennes :
| Besoin | Alternative européenne | Particularités |
|---|---|---|
| LLM texte | Mistral Le Chat (France) | Serveurs FR, options d'hébergement privé |
| Suite bureautique IA | OnlyOffice + IA souveraine | Open source, hébergeable en interne |
| Stockage données | Nextcloud (Allemagne) | Open source, autohébergeable |
| Visioconférence | Jitsi (France/UE) | Open source, autohébergeable |
| Génération images | Stable Diffusion local | Open source, aucune donnée externe |
"Un outil IA gratuit hébergé aux États-Unis vous ferait économiser 5h de travail par semaine. Une alternative européenne payante (50€/mois) vous en économiserait 3h. Qu'est-ce que vous faites ?"
Question : "Avez-vous déjà douté de la véracité d'un contenu (texte, image, vidéo) parce qu'il aurait pu être généré par IA ?" - Régulièrement - Ponctuellement - Jamais - J'essaie d'y penser mais c'est difficile
Risque 1 — La manipulation de masse :
La génération automatique de contenu à grande échelle permet de :
- Créer des centaines de faux profils diffusant de la désinformation (fermes à trolls dopées à l'IA)
- Personnaliser les fausses informations selon le profil psychologique de chaque cible (microtargeting)
- Réagir en temps réel à l'actualité avec des fake news crédibles
Risque 2 — La fracture numérique amplifiée :
Les personnes qui savent utiliser l'IA à leur avantage seront avantagées dans la vie professionnelle et citoyenne. Ceux et celles qui n'y ont pas accès (barrière économique, culturelle, linguistique) seront doublement pénalisés. L'IA peut creuser les inégalités qu'elle prétend réduire.
Risque 3 — La concentration du pouvoir :
5 entreprises (Google, Microsoft/OpenAI, Meta, Amazon, Apple) contrôlent l'essentiel de l'infrastructure de l'IA mondiale. Ce niveau de concentration n'a jamais existé dans l'histoire des médias. Qui régule ces entreprises ? Comment ?
Ce que font les États et l'Europe : - AI Act (2024) : premier règlement mondial contraignant sur l'IA. - DSA (Digital Services Act) : régulation des plateformes. - En France : ARCOM (ex-CSA) étendu aux contenus générés par IA.
"Vous coordonnez une association citoyenne. Vous découvrez qu'un opposant politique de votre ville utilise des posts générés par IA pour déformer les positions de votre association. Qu'est-ce que vous faites ?"
4 groupes tournants (15 min par dilemme, 2 dilemmes par groupe) :
Dilemme A : "Un outil IA gratuit hébergé aux USA vs une alternative européenne payante : on choisit quoi et pourquoi ?"
Dilemme B : "Notre fédération demande de réduire l'empreinte numérique : l'IA entre-t-elle dans notre plan de sobriété ? Comment ?"
Dilemme C : "Un jeune animateur a utilisé ChatGPT pour rédiger notre rapport annuel d'activité, sans le dire à personne. On découvre ça. Quelle conversation on a ?"
Dilemme D : "Une collectivité nous propose un outil IA pour gérer nos inscriptions et améliorer notre accueil. Il est gratuit. Il est américain. Il sera connecté à nos données familles. On dit oui ?"
Restitution : Chaque groupe présente ses conclusions en 3 min. Le formateur synthétise dans le tableau collaboratif.
Co-construction collective des 8 à 12 critères de la grille :
| Critère | Oui | Partiel | Non | Question à poser |
|---|---|---|---|---|
| Hébergement UE ? | Où sont les serveurs ? | |||
| DPA conforme RGPD ? | Y a-t-il un DPA signable ? | |||
| Données personnelles impliquées ? | Qu'est-ce qu'on met dedans ? | |||
| Alternatives libres ou européennes ? | A-t-on vraiment cherché ? | |||
| Impact environnemental évalué ? | Estimation disponible ? | |||
| Transparence de l'éditeur ? | Rapport RSE, documentation ? | |||
| Usage déclaré/autorisé ? | Politique interne ? Statuts ? | |||
| Formation de l'équipe prévue ? | Qui se forme, quand, comment ? | |||
| Mécanisme de retrait possible ? | Peut-on fermer le compte ? | |||
| Avis du DPO/référent RGPD ? | Si structure soumise à DPO |