Impôts et IA : la DGFiP officialise sa stratégie algorithmique — un cas d'école pour l'AI Act
En 2025, la Direction générale des Finances publiques (DGFiP) s'est dotée pour la première fois d'une feuille de route et d'une stratégie IA formelles. Derrière l'annonce d'une « utilisation raisonnée » de l'intelligence artificielle se cache une réalité que tout DPO devrait observer de près : l'administration fiscale fait fonctionner depuis plus d'une décennie des systèmes algorithmiques qui traitent les données personnelles de millions de contribuables.
Ce qui s'est passé
La DGFiP n'est pas une débutante en matière d'IA. Trois dispositifs structurent aujourd'hui son arsenal. Le CFVR (Ciblage de la Fraude et Valorisation des Requêtes), doté d'un budget estimé à 34,5 millions d'euros, oriente les contrôles fiscaux : le rapport 2025 fait état d'une hausse de 2,8 % des droits et pénalités notifiés et d'une surveillance accrue des crypto-actifs. Le Foncier Innovant détecte automatiquement, à partir d'images aériennes, les constructions non déclarées — piscines, extensions — pour un coût d'environ 33 millions d'euros. Un troisième système, prédictif, analyse les données financières des communes pour anticiper leurs difficultés, en les regroupant par profils comparables.
Nouveauté de 2025 : la Direction de la Transformation Numérique a formalisé une stratégie IA, et un assistant d'IA générative interne est devenu l'outil phare déployé auprès des agents. Le message officiel insiste sur un meilleur service rendu aux usagers et un allègement des charges pour les agents.
Pourquoi c'est important
Pour un DPO, cette actualité dépasse largement le périmètre fiscal. Elle illustre concrètement ce que l'AI Act va exiger des organisations publiques comme privées. Plusieurs des dispositifs de la DGFiP relèvent potentiellement de la catégorie des systèmes à haut risque. Le ciblage de la fraude par une autorité publique entre directement dans le champ des cas d'usage de l'annexe III du règlement — un point que la Commission européenne vient justement de préciser dans ses lignes directrices sur la classification haut risque.
Le précédent grec est éclairant. Fin 2025, l'autorité hellénique de protection des données a jugé illégal un programme d'IA policière déployé sans analyse d'impact ni base légale solide. Le déploiement du Foncier Innovant, révélé par la presse avant toute communication officielle, rappelle que la transparence et le contrôle de licéité ex ante ne sont pas optionnels lorsqu'une administration traite des données à grande échelle.
Enfin, le CFVR oriente des décisions — le déclenchement d'un contrôle fiscal — qui affectent directement des personnes. Même lorsque l'humain garde la main sur la décision finale, le débat sur le caractère réellement « significatif » de cette intervention humaine reste ouvert, comme l'a montré le rapport de l'ICO britannique sur les décisions automatisées.
Ce que ça change pour les organisations
La leçon est transposable à toute structure qui déploie de l'IA sur des données personnelles. Trois réflexes s'imposent.
D'abord, cartographier ses systèmes d'IA et qualifier chacun d'eux : finalité, rôle (fournisseur ou déployeur), niveau de risque au sens de l'AI Act. Un algorithme de scoring ou de détection de fraude n'est jamais un simple outil métier.
Ensuite, réaliser une analyse d'impact avant tout déploiement. Un traitement algorithmique à grande échelle, croisant plusieurs sources de données, déclenche presque systématiquement l'obligation d'AIPD. La conduire après coup, comme l'a sanctionné l'autorité grecque, expose à l'illicéité du traitement.
Enfin, structurer une gouvernance IA durable. Se doter, comme la DGFiP en 2025, d'une feuille de route formelle n'est pas un luxe administratif : c'est la condition d'une conformité démontrable. La norme ISO 42001 offre un cadre de management adapté pour y parvenir.
Ce que Leto pense de cette décision
Que l'administration fiscale formalise seulement en 2025 une stratégie IA, alors qu'elle exploite ces systèmes depuis plus de dix ans, est en soi un signal. La gouvernance algorithmique a longtemps couru après la technologie — et l'AI Act vient mettre fin à cette tolérance. Pour les organisations privées, le raisonnement est simple : si l'État doit désormais documenter, classer et encadrer ses IA, aucune entreprise déployant un outil de scoring, de tri ou de prédiction sur des données personnelles ne peut s'en dispenser. Le bon moment pour cartographier ses systèmes, c'était hier ; le deuxième meilleur, c'est maintenant.
Sources :
