Cahiers ESPI2R

Enjeux juridiques de l’intelligence artificielle dans l’urbanisme

Cécile Crichton

Citer

Crichton, C. (2026). Enjeux juridiques de l’intelligence artificielle dans l’urbanisme. Dans F. Sabrinni-Chatelard & R. Peres (dir.), Intelligence artificielle et métavers dans l’immobilier. Mis en ligne le 05 février 2026, Cahiers ESPI2R, 22 | 2026, consulté le 06 février 2026. URL : https://www.cahiers-espi2r.fr/2098

Mots-clés

intelligence artificielle, urbanisme, droit

Le succès applicatif de l’intelligence artificielle (IA) n’est plus à démontrer, autant dans l’automatisation de tâches que dans l’analyse prédictive. Cette communication vise à soulever les aspects essentiels des réglementations applicables à l’IA dans le secteur de l’urbanisme, sans vocation exhaustive. Les systèmes d’IA seront entendus dans leur acception courante, réduite aux systèmes d’apprentissage automatique, dits “machine learning”, qui se développent à mesure d’entraînements1. Les différentes phases de la vie du système – collecte des données, agrégation des données, entraînement du système, déploiement du système – impliquent d’étudier, d’une part, le régime applicable à la gouvernance des données et, d’autre part, le régime applicable au système d’IA en lui-même.

À titre liminaire, il convient de préciser que la construction de ces régimes juridiques s’inscrit dans la stratégie pour un marché unique numérique en Europe, qui poursuit notamment l’objectif de « maximiser le potentiel de croissance de notre économie numérique européenne » 2. Suivant les principes de libre circulation des biens, des services, des personnes et des capitaux, ainsi que de protection des droits et libertés fondamentaux des personnes, cette stratégie se matérialise par l’adoption de différentes réglementations à appréhender dans leur ensemble.

La gouvernance des données

Les nombreux textes européens relatifs à la gouvernance des données peuvent se scinder en deux grandes catégories : les dispositions relatives aux données à caractère personnel et les autres.

L’encadrement des données non personnelles

En droit de l’Union européenne (UE), la donnée se définit comme « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels »3. Essentielle à l’entraînement d’un système d’IA, la donnée représente un enjeu économique important. En matière d’urbanisme, par exemple, il est possible d’imaginer un opérateur exploitant des systèmes de capteurs qui comptent la circulation routière et mesurent les émissions de polluants des véhicules en temps réel. Afin d’améliorer la qualité de l’air, acquérir ces données peut être utile pour imaginer un nouveau plan d’urbanisme via une analyse par IA.

Il existe un trop grand nombre de règles applicables aux données à caractère non personnel pour être recensées de manière exhaustive au sein de la présente synthèse. Nous nous contenterons d’insister sur le fait que l’appropriation d’une donnée n’équivaut pas nécessairement à un droit de propriété sur elle. En effet, au sens du Code de la propriété intellectuelle (CPI), la donnée – hors œuvre telle qu’une représentation graphique – est généralement considérée comme une idée qui reste à ce titre de libre parcours4. Pour acquérir un droit de propriété intellectuelle sur un jeu de données, il est nécessaire de satisfaire aux critères du droit sui generis du producteur d’une base de données5 supposant un investissement qualitatif et quantitatif substantiel6.

Dès lors, la protection d’un jeu de données se matérialise généralement par le contrat, comme la stipulation d’une clause de confidentialité. Dans cette hypothèse, la protection se limite à l’engagement de la responsabilité de l’auteur du manquement, manifesté le plus souvent par le prononcé de dommages et intérêts. Les parties peuvent également adopter le régime contractuel des licences dites « Creative Commons » dont les stipulations sont signalées par des pictogrammes. Certaines licences autorisent toute réappropriation sous réserve d’en citer l’auteur. D’autres encore autorisent le partage en interdisant toute utilisation commerciale.

Le praticien doit toutefois porter son attention sur certaines règles qui encouragent, voire contraignent, la libre circulation des données. Par exemple, le Data Act7, entré en vigueur le 12 septembre 20258, vise à créer des obligations de mise à disposition des données générées par un produit connecté au profit de plusieurs personnes, comme les utilisateurs, les destinataires de données ou les organismes du secteur public9. En d’autres termes, ces créanciers peuvent invoquer leur droit à revendiquer les données captées et/ou produites par un système d’IA connecté.

Outre les données produites ou détenues par des entités privées, il existe des bases de données publiques disponibles en open source sur le site internet Data.gouv.fr, qui comporte notamment une rubrique intitulée « Les données relatives au logement et à l’urbanisme ». Un certain nombre d’obligations pèse sur l’Administration, comme celle de partager les données dans un format « ouvert »10, afin de favoriser un accès équitable aux données et permettre ainsi leur valorisation.

L’encadrement des données à caractère personnel

Le traitement des données à caractère personnel est essentiellement régi par le règlement général sur la protection des données11, dit « RGPD ». Ce droit étant extrêmement dense, seules quelques généralités seront présentées. Le RGPD est applicable en présence d’un « traitement » de « données personnelles ». Ce premier se définit comme « toute opération ou tout ensemble d’opérations […] appliquées à des données ou des ensembles de données à caractère personnel »12 et ces secondes se définissent comme « toute information se rapportant à une personne physique identifiée ou identifiable »13, étant précisé que ce dernier critère est satisfait en présence d’un croisement de données.

Il ressort de ces définitions un champ d’application extrêmement large. Bien entendu, une agence immobilière sera qualifiée de responsable du traitement des données en présence de la conclusion d’un contrat de location à usage d’habitation, a minima du fait de la présence des données à caractère personnel du locataire. Même si le processus de conclusion du contrat est entièrement automatisé, le RGPD sera applicable en raison, par exemple, du stockage informatisé du contrat.

D’autres exemples peuvent être cités en matière d’urbanisme à partir d’objets connectés. Premièrement, la captation vidéo dans l’espace public identifie directement des personnes physiques. La conservation ou la possibilité par une équipe habilitée de consulter les images constituent des traitements de données. Deuxièmement, le bornage téléphonique représente une identification indirecte. En effet, le croisement de données de géolocalisation et d’adresse IP ou MAC est susceptible d’identifier individuellement une personne. Troisièmement, un véhicule connecté peut traiter des données à caractère personnel de manière indirecte si certaines options, comme la géolocalisation, sont activées.

Plusieurs solutions techniques ou juridiques permettent de sortir du champ d’application du RGPD et de s’exempter de ses nombreuses obligations. Pour la captation vidéo, la dégradation de la qualité de l’image en est un exemple. Ainsi est-il possible d’identifier le passage d’un être humain sans identifier la personne. Pour le bornage, il appartient à l’opérateur téléphonique d’anonymiser ou de pseudonymiser les données avant de les transférer. Pour le véhicule connecté et la géolocalisation, une anonymisation automatisée à bref délai reste possible sous réserve de mettre en œuvre tous les moyens nécessaires à empêcher le croisement de données.

Tout professionnel de l’urbanisme est susceptible d’être responsable du traitement, ne serait-ce que par le recrutement d’un salarié. Pèsent ainsi sur lui de nombreuses obligations, comme celles de définir une base légale du traitement14 ; de définir une finalité déterminée, explicite et légitime15 ; de satisfaire à des obligations de sécurité16 ; de délimiter une durée de conservation des données17 ; etc. En particulier, le responsable du traitement se doit de respecter les droits des personnes concernées, parmi lesquels figurent le droit à l’information18 ; le droit d’accès19 et de rectification20 ; le droit à l’effacement21 ; le droit à la limitation du traitement22 ; et le droit à la portabilité de ses données23.

Une attention particulière doit être portée sur le respect des dispositions du RGPD eu égard au montant important des amendes administratives, pouvant s’élever jusqu’à 20 000 000 euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu24.

Gouvernance des systèmes d’IA

Le droit de l’IA subit actuellement de profondes mutations, avec en premier lieu l’adoption récente du règlement sur l’IA, dit « RIA », ou en anglais “Artificial Intelligence Act” (AI Act)25. Quelques généralités seront présentées avant d’aborder le contenu du texte.

Quelques généralités

Le règlement sur l’IA poursuit deux objectifs : la sécurité et la libre circulation des systèmes d’IA ainsi que le respect des droits et libertés fondamentaux des personnes. S’inscrivant dans la stratégie pour un marché unique numérique au sein de l’UE, l’AI Act ne peut évidemment être lu qu’en combinaison avec les autres réglementations ; en premier lieu le RGPD ou les différentes réglementations en matière de cybersécurité26, mais aussi quelques textes plus spécifiques comme le règlement sur les services numériques, dit “Digital Services Act”, qui s’applique notamment aux plateformes en ligne27.

Certains systèmes d’IA sont exclus de l’AI Act, comme les systèmes « spécifiquement développés et mis en service uniquement à des fins de recherche et développement scientifiques, ni aux résultats qu’ils génèrent »28 ou les systèmes d’IA dont l’usage est réservé à des fins militaires29, domaine qui ressort de la compétence exclusive des États membres.

Son champ d’application reste volontairement large par une définition des systèmes d’IA applicable à de nombreux cas. Ainsi le système d’IA se définit comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie, […] et qui […] déduit, à partir des données d’entrée qu’il reçoit, la manière de générer des sorties »30. Sont alors mises en évidence la capacité de raisonnement, via l’input et l’output, ainsi que l’autonomie.

L’universalité de cette définition se restreint par les différents régimes proposés par le texte. À grands traits, l’AI Act régule les systèmes d’IA en fonction des risques : les applications qui présentent un risque inacceptable sont prohibées ; celles qui présentent un risque élevé sont soumises à un régime de mise en conformité ; et celles qui présentent un risque faible sont soumises à un devoir de transparence. Quelques dispositions intéressent enfin les modèles d’IA à usage général.

Le contenu de l’AI Act

Les pratiques interdites, qui présentent un risque inacceptable, sont listées à l’article 5 de l’AI Act et n’intéressent pas directement les secteurs de l’immobilier et de l’urbanisme. En font partie notamment la notation sociale des personnes31, la police prédictive32 ou encore la reconnaissance faciale par web scraping33.

La majeure partie des dispositions de l’AI Act régule les systèmes d’IA à haut risque34, définis par l’article 6 qui renvoie à deux annexes : l’annexe I et l’annexe III.

L’annexe I fait référence à une liste de textes européens relatifs à des produits, dont les ascenseurs et leurs composants de sécurité, les installations à câble ou encore un certain nombre de véhicules. Pour entrer dans la catégorie de systèmes à haut risque, l’article 6, § 1 dresse deux conditions cumulatives. Le système, qu’il soit indépendant ou non des produits visés ci-dessus, doit, d’une part, constituer lui-même le produit ou être composant de sécurité du produit et, d’autre part, être soumis à une évaluation de conformité avant mise sur le marché ou mise en service. Ainsi, un système d’IA destiné à prévenir la maintenance d’ascenseurs entrerait dans la catégorie des systèmes à haut risque.

L’annexe III dresse une liste de domaines pour lesquels les systèmes d’IA sont considérés comme à haut risque sous réserve de présenter un « risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, y compris en n’ayant pas d’incidence significative sur le résultat de la décision »35. Toutefois, cette annexe n’intéresse pas directement le secteur de l’immobilier ou de l’urbanisme, hormis pour la gestion de la main d’œuvre. Dans cette hypothèse sont susceptibles d’être à haut risque les systèmes « destinés à être utilisés pour le recrutement ou la sélection de personnes physiques » ou « destinés à être utilisés pour prendre des décisions influant sur les conditions des relations professionnelles, la promotion ou le licenciement dans le cadre de relations professionnelles contractuelles, pour attribuer des tâches sur la base du comportement individuel, de traits de personnalités ou de caractéristiques personnelles ou pour suivre et évaluer les performances et le comportement de personnes dans le cadre de telles relations »36.

La majorité des obligations pèse sur le fournisseur, entendu comme la personne qui met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque37. Relevons également quelques obligations incombant au déployeur, qui utilise « sous sa propre autorité un système d’intelligence artificielle »38. L’AI Act organise essentiellement une procédure d’évaluation de mise en conformité préalable avec marquage CE39. Parmi les obligations figurent notamment l’établissement d’une lourde documentation40 ; la journalisation intégrée au système tout au long de sa vie41 ; la mise en place d’un système de gestion des risques42 et de surveillance après commercialisation43 ; un système précis de gouvernance des données d’entraînement, de validation et de test44 ; une supervision humaine45 ; ou encore le respect des principes d’exactitude, de robustesse et de sécurité46.

Hormis les pratiques à haut risque, l’AI Act impose un devoir de transparence en présence d’un système à faible risque47, qui inclut les systèmes destinés à « interagir directement avec des personnes physiques », les systèmes d’IA générative, les systèmes de reconnaissance émotionnelle ou de catégorisation biométrique lorsque le traitement constitue un traitement de données à caractère personnel, ainsi que les deepfakes.

Enfin, l’AI Act réglemente quelques aspects des modèles d’IA à usage général48 qui n’intéressent pas – encore (!) – les secteurs de l’immobilier et de l’urbanisme. Les acteurs impliqués dans la chaîne de production de ces modèles ont l’obligation de constituer une documentation49. En outre, sur le modèle du régime des très grandes plateformes imposé par le Digital Services Act 50, les fournisseurs de modèles d’IA à usage général présentant un risque systémique51 sont tenus d’effectuer une analyse des risques systémiques52.

*

Usages déclarés de l’intelligence artificielle générative par l’auteur

 

OUI 

NON 

Observations 
Précisions 

Recherche d’informations et synthèse de l’état de l’art 

 

X

 

Reformulation 

 

X

 

Correction orthographique et/ou grammaticale. 

 

 

Résumé et/ou génération de mots clé 

 

X

 

1 Précisons que cette acception n’est pas retenue par le règlement sur l’intelligence artificielle (UE) 2024/1689 du 13 juin 2024 qui privilégie le

2 Communication de la Commission européenne : Stratégie pour un marché unique numérique en Europe, 6 mai 2015, COM(2015) 192 final, p. 4.

3 Règlement (UE) 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des

4 « Le droit d’auteur ne protège que les créations de forme. Parce qu’elles ne remplissent pas cette condition de formalisation, les idées échappent à

5 CPI, article L. 341-1.

6 Directive 96/9/CE du 11 mars 1996 concernant la protection juridique des bases de données, article 7, § 1.

7 Règlement (UE) 2023/2854 du 13 décembre 2023.

8 Règlement (UE) 2023/2854 du 13 décembre 2023, article 50.

9 Règlement (UE) 2023/2854 du 13 décembre 2023, article 1er.

10 Le format doit ainsi, dans la mesure du possible, ne pas être lié à l’utilisation d’un logiciel spécifique. Par exemple, sur les informations du

11 Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

12 RGPD, article 4, 2), qui cite quelques exemples tels que « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’

13 RGPD, article 4, 1).

14 RGPD, article 6.

15 RGPD, article 5, § 1, b).

16 RGPD, article 32.

17 RGPD, article 5, § 1, e).

18 RGPD, articles 12 à 14.

19 RGPD, article 15.

20 RGPD, article 16.

21 RGPD, article 17.

22 RGPD, article 18.

23 RGPD, article 20.

24 RGPD, articles 83 et 84.

25 Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE)

26 Par exemple, la directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité

27 Règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur

28 AI Act, article 2, § 6.

29 AI Act, article 2, § 3.

30 AI Act, article 3, 1).

31 AI Act, article 5, § 1, c).

32 AI Act, article 5, § 1, d).

33 AI Act, article 5, § 1, e).

34 AI Act, articles 6 à 49.

35 AI Act, article 6, § 3.

36 AI Act, Annexe III, § 4.

37 AI Act, article 3, 3).

38 AI Act, article 3, 4).

39 AI Act, articles 43 à 49 notamment.

40 AI Act, articles 11 et 18 notamment.

41 AI Act, articles 12 et 19.

42 AI Act, article 9.

43 AI Act, article 72.

44 AI Act, article 10.

45 AI Act, article 14.

46 AI Act, article 15.

47 AI Act, article 50.

48 AI Act, article 51 à 56.

49 AI Act, article 53 et 54.

50 Règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur

51 Définis à l’article 51 et dont les critères sont listés à l’annexe XIII de l’IA Act.

52 IA Act, article 55.

1 Précisons que cette acception n’est pas retenue par le règlement sur l’intelligence artificielle (UE) 2024/1689 du 13 juin 2024 qui privilégie le critère d’autonomie (article 3, 1)). Les lignes directrices de la Commission sur la définition d’un système d’IA, au sens du règlement (29 juillet 2025, C(2025) 5053 final), précisent en effet que « certains systèmes ont une capacité d’inférence […] mais peuvent néanmoins ne pas relever de la définition du système d’IA, en raison de leur capacité limitée à analyser des modèles et à ajuster leurs sorties de manière autonome » (pt 41), telles que les régressions linéaires (pt 42). Un système de machine learning n’est donc pas nécessairement qualifié de système d’IA au sens du règlement.

2 Communication de la Commission européenne : Stratégie pour un marché unique numérique en Europe, 6 mai 2015, COM(2015) 192 final, p. 4.

3 Règlement (UE) 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données), article 2, 1).

4 « Le droit d’auteur ne protège que les créations de forme. Parce qu’elles ne remplissent pas cette condition de formalisation, les idées échappent à l’appropriation. À suivre Pouillet, “la pensée elle-même échappe à toute appropriation, elle reste dans le domaine inviolable des idées, dont le privilège est d’être éternellement libre” (E. Pouillet, Traité de propriété littéraire et artistique : Paris, 3e éd., 1908, p. 45). C’est aussi le sens de la célèbre formule de Desbois, à qui est fréquemment attribuée la paternité de la règle, et qui affirmait que “même marquées au coin du génie, les idées sont par essence et par destination de libre parcours” (H. Desbois, Le droit d’auteur en France : Dalloz, 3e éd., 1978, p. 22) » (Bensamoun, A., & Groffe, J. [2019]. Objet du droit d’auteur. – Œuvres protégées. Notion d’œuvre. JurisClasseur Propriété littéraire et artistique, fasc. 1134, spéc. n° 48).

5 CPI, article L. 341-1.

6 Directive 96/9/CE du 11 mars 1996 concernant la protection juridique des bases de données, article 7, § 1.

7 Règlement (UE) 2023/2854 du 13 décembre 2023.

8 Règlement (UE) 2023/2854 du 13 décembre 2023, article 50.

9 Règlement (UE) 2023/2854 du 13 décembre 2023, article 1er.

10 Le format doit ainsi, dans la mesure du possible, ne pas être lié à l’utilisation d’un logiciel spécifique. Par exemple, sur les informations du secteur public, voir la directive (UE) 2019/1024 du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public, article 5, § 1.

11 Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

12 RGPD, article 4, 2), qui cite quelques exemples tels que « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

13 RGPD, article 4, 1).

14 RGPD, article 6.

15 RGPD, article 5, § 1, b).

16 RGPD, article 32.

17 RGPD, article 5, § 1, e).

18 RGPD, articles 12 à 14.

19 RGPD, article 15.

20 RGPD, article 16.

21 RGPD, article 17.

22 RGPD, article 18.

23 RGPD, article 20.

24 RGPD, articles 83 et 84.

25 Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle).

26 Par exemple, la directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

27 Règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques).

28 AI Act, article 2, § 6.

29 AI Act, article 2, § 3.

30 AI Act, article 3, 1).

31 AI Act, article 5, § 1, c).

32 AI Act, article 5, § 1, d).

33 AI Act, article 5, § 1, e).

34 AI Act, articles 6 à 49.

35 AI Act, article 6, § 3.

36 AI Act, Annexe III, § 4.

37 AI Act, article 3, 3).

38 AI Act, article 3, 4).

39 AI Act, articles 43 à 49 notamment.

40 AI Act, articles 11 et 18 notamment.

41 AI Act, articles 12 et 19.

42 AI Act, article 9.

43 AI Act, article 72.

44 AI Act, article 10.

45 AI Act, article 14.

46 AI Act, article 15.

47 AI Act, article 50.

48 AI Act, article 51 à 56.

49 AI Act, article 53 et 54.

50 Règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), article 34.

51 Définis à l’article 51 et dont les critères sont listés à l’annexe XIII de l’IA Act.

52 IA Act, article 55.

Cécile Crichton

Doctorante en droit, université Paris Cité
Enseignante en droit de l’intelligence artificielle et en droit des données personnelles, Institut catholique de Paris
Enseignante en droit de l’intelligence artificielle, université Paris-Saclay
Enseignante en droit du numérique, université catholique de l’Ouest

CC BY-NC-ND 4.0 sauf pour les figures et les visuels, pour lesquels il est nécessaire d'obtenir une autorisation auprès des détenteurs des droits.