Tous les articles

Faut-il une charte IA dans votre entreprise ?

Aucune loi n'impose de charte IA sous ce nom. Ce qui protège tient dans deux décisions, à savoir qui peut adopter quels outils et quel type de donnée peut aller sur quel outil.

Un modèle de charte IA se télécharge en deux minutes. Beaucoup d'entreprises le signent, le rangent, et l'usage reste identique. Alors, faut-il une charte ? Oui, dès que vos équipes utilisent l'IA au quotidien. Ce qui protège tient dans deux décisions qu'un document générique laisse en blanc. La première dit qui peut décider quels outils entrent dans l'entreprise et lesquels doivent passer par une validation avant d'être adoptés. La seconde fixe quel type de donnée peut aller sur quel outil. La loi ne réclame aucun document appelé charte. Elle demande que l'entreprise développe la compétence de ses équipes sur ces outils (article 4 du règlement européen sur l'IA, applicable depuis février 2025) et que les données personnelles restent protégées (RGPD).

La charte IA est-elle vraiment obligatoire ?

Aucun texte n'impose de charte IA sous ce nom. On la présente parfois comme une obligation datée, à échéance fixe, ce qui ne correspond pas au droit. Ce que la loi demande touche au fond.

Depuis février 2025, l'article 4 du règlement européen sur l'IA demande à toute entreprise qui utilise ces outils de développer la compétence de ses équipes, autrement dit qu'elles sachent s'en servir. Ce cadre est en cours d'ajustement dans le paquet Digital Omnibus, mais l'obligation de faire monter les équipes en compétence demeure. Le RGPD, de son côté, tient l'entreprise pour responsable des données personnelles que ses salariés confient à un outil, même lorsqu'ils le font de leur propre initiative. Une charte est une façon pratique d'organiser ces obligations.

Que doit trancher une charte utile ?

La première décision porte sur le périmètre, et surtout sur qui décide. Qui, dans l'entreprise, a l'autorité pour adopter un nouvel outil, et à partir de quand un outil doit passer par une validation avant d'entrer dans le travail. Sans cette autorité claire, chacun installe ce qu'il veut. La direction finit par ignorer quels outils tournent chez elle et sur quelles données.

La seconde décision classe les données, pour dire quel type de donnée peut aller sur quel outil. Dès qu'une personne est identifiable, même sans être nommée, comme le maître d'ouvrage d'un chantier précis ou le responsable d'un lot, la donnée appelle un outil hébergé en Europe et encadré par un contrat de sous-traitance (article 28 du RGPD). Une donnée vraiment sans lien avec une personne laisse plus de latitude, et dans le doute, on la traite comme personnelle. Ce partage relève surtout du RGPD, que nous avons traité en détail dans un article dédié aux données clients. Pour une charte, l'essentiel est qu'une telle règle existe et que chacun la connaisse.

Le reste d'une charte, la transparence sur les contenus générés et la relecture humaine avant qu'un document parte, se pose plus simplement une fois ces deux décisions prises.

Pourquoi un modèle téléchargé ne suffit-il pas ?

Un modèle générique arrive avec des cases vides à l'endroit qui compte, puisqu'il ne connaît ni vos outils ni les données qui circulent chez vous. Signé tel quel, il rassure sur le moment et laisse chacun continuer comme avant.

Remplir ces cases avec votre réalité demande un inventaire de ce que vos équipes utilisent déjà et une règle qui dit, pour chaque type de donnée, ce qui est permis. Aucun document tout prêt ne le fait pour vous.

À quoi ça ressemble dans un bureau ?

Dans un bureau d'une dizaine de personnes, l'un s'est mis à un assistant pour rédiger ses devis, un autre à un outil qui résume ses comptes rendus, chacun de son côté. Personne n'a validé ce choix. La direction ne pourrait pas dire aujourd'hui quels outils tournent ni sur quelles données.

Une charte utile aurait tranché en amont qui décide des outils qui entrent et lesquels demandent un accord avant d'être adoptés. La règle tient en une phrase, mais encore faut-il l'avoir écrite avant l'incident.

Comment savoir qu'un cadre vous manque ?

Trois questions révèlent qu'un cadre vous manque :

  • Sauriez-vous dire quels outils d'IA tournent aujourd'hui dans l'entreprise ?
  • Quelqu'un peut-il adopter un nouvel outil sans qu'une validation soit prévue ?
  • Sait-on qui relit ce que l'IA produit avant qu'un document parte ?

Si l'une de ces questions reste sans réponse, le premier document sensible envoyé au mauvais outil suffit à transformer un risque abstrait en incident.

Par où commencer ?

Le point de départ est un geste simple. Faire la liste de ce que vos équipes utilisent déjà, puis nommer, pour chaque type de donnée, l'outil acceptable. Cet inventaire, personne ne peut le faire à votre place, parce qu'il dépend de vos outils et de vos habitudes de travail. C'est justement ce que pose un audit, qui part de vos processus réels avant de fixer la moindre règle.

Une charte n'a pas besoin d'être épaisse pour protéger. Une page suffit, du moment qu'elle nomme les outils autorisés et le type de donnée qui reste hors des services grand public.


Questions fréquentes

La charte IA est-elle obligatoire pour une PME ?

Aucun texte n'impose de charte sous ce nom. Depuis février 2025, l'article 4 du règlement européen sur l'IA demande aux entreprises de développer la compétence en IA des collaborateurs qui l'utilisent. Le RGPD, lui, tient l'entreprise pour responsable des données personnelles confiées à un outil. Une charte reste une façon pratique d'organiser ces obligations, sans être un document imposé en tant que tel.

Que doit trancher une charte IA utile ?

Deux décisions font l'essentiel. Le périmètre d'abord, c'est-à-dire qui peut adopter quels outils et lesquels demandent un accord avant d'être adoptés. La classification des données ensuite, quel type de donnée peut aller sur quel outil, avec une règle nette pour tout ce qui touche à des personnes. La transparence et la relecture humaine viennent se greffer sur ces deux bases.

Un modèle de charte gratuit suffit-il ?

Un modèle donne une trame utile pour démarrer, mais il laisse en blanc les choix qui comptent, à savoir vos outils et vos données. Signé sans être adapté, il rassure sans rien changer aux usages. Le travail réel consiste à remplir ces cases avec votre réalité.

Qui doit rédiger la charte IA dans l'entreprise ?

La rédaction gagne à associer la direction, qui tranche ce qui est autorisé, et les personnes qui utilisent réellement les outils, qui savent ce qui se passe sur le terrain. Un regard extérieur aide à poser les bonnes questions, surtout sur le classement des données. La décision finale revient à l'entreprise, qui en porte la responsabilité.


Ce contenu est fourni à titre informatif général. Il ne constitue pas un conseil juridique et ne remplace pas l'avis d'un avocat spécialisé en protection des données. Pour votre situation spécifique, consultez un conseiller juridique.

Pas encore prêt à en parler ?

Notre auto-diagnostic vous montre où l'IA aide vraiment dans votre organisation, et où elle ne sert à rien. Un PDF d'une page, à parcourir seul en quelques minutes. C'est le même point de départ que notre audit.

En laissant votre numéro, vous nous demandez de vous rappeler à ce sujet.

Facultatif. Le document vous parvient dans tous les cas. Désinscription en un clic.

Vous recevez d'abord un e-mail de confirmation, puis le document et un lien vers notre calculateur. Nous ne revendons ni ne transmettons vos données. Détails : politique de confidentialité.