Politique IA vs Charte IA : la distinction qui compte

Beaucoup d'entreprises ont rédigé une charte IA (« nous utilisons l'IA de manière responsable et transparente »). Peu ont une politique IA opérationnelle. La différence :

  • Charte IA : document de principes, communication interne et externe, peu contraignant opérationnellement
  • Politique IA : document de gouvernance interne, opposable, avec des règles précises et des responsabilités nommées

Les deux sont utiles. Mais en 2026, avec l'EU AI Act en vigueur, c'est la politique IA qui vous protège — et que les auditeurs demanderont en premier.

Section 1 : Périmètre et définitions

[Modèle] « Cette politique s'applique à l'ensemble des collaborateurs, prestataires et sous-traitants de [Entreprise] utilisant des outils, services ou systèmes intégrant de l'intelligence artificielle dans le cadre de leurs activités professionnelles. »

Définissez ce que vous entendez par « système IA » — incluez les LLM (ChatGPT, Copilot, Mistral…), les outils de génération d'image, les outils d'analyse prédictive, les chatbots. Excluez explicitement ce qui n'est pas concerné (outils de correction orthographique, moteurs de recherche classiques).

Section 2 : Usages autorisés et interdits

C'est la section la plus importante — et la plus délicate à rédiger. Le piège : être trop restrictif et pousser les collaborateurs vers le shadow AI.

Usages autorisés (exemples) :

  • Rédaction et reformulation de documents internes non confidentiels
  • Résumé de réunions et comptes-rendus (sans données clients nominatives)
  • Aide à la programmation avec des données anonymisées
  • Recherche d'information générale et veille sectorielle
  • Génération de premières versions de présentations sur sujets non confidentiels

Usages soumis à autorisation préalable :

  • Traitement de données personnelles de clients ou de collaborateurs
  • Utilisation dans des processus de décision affectant des individus (recrutement, évaluation)
  • Intégration d'un outil IA dans un processus métier critique

Usages interdits :

  • Transmission de données couvertes par le secret professionnel ou classifiées confidentiel-défense
  • Utilisation d'outils IA non approuvés sur des données clients identifiables
  • Présentation d'une sortie IA comme une production humaine sans relecture ni validation

Section 3 : Classification des données autorisées par outil

Cette section traduit vos règles en guide pratique pour le collaborateur :

Catégorie de données Outils cloud autorisés LLM interne uniquement
Données publiques / généralesOuiNon requis
Données internes non sensiblesOutils approuvés uniquementRecommandé
Données clients / fournisseursNon (sauf DPA signé)Obligatoire
Données personnelles (RH, santé)NonSur autorisation
Données confidentielles stratégiquesNonSur autorisation

Section 4 : Fournisseurs approuvés

Tenez une liste officielle des outils IA approuvés, mise à jour trimestriellement. Chaque outil approuvé doit avoir : un DPA signé, une localisation des données documentée, un owner interne responsable.

Les outils non listés nécessitent une demande d'approbation — avec un délai de réponse garanti (recommandé : 10 jours ouvrés). Sans délai garanti, les collaborateurs contournent le processus.

Section 5 : Responsabilités

  • Chaque collaborateur : vérifie les sorties IA avant utilisation, ne transmet pas de données non autorisées, signale tout comportement inattendu
  • Manager : s'assure que son équipe connaît la politique, valide les usages non standards, remonte les besoins nouveaux
  • DSI / RSSI : tient à jour la liste des outils approuvés, gère les incidents liés à l'IA, assure la conformité des DPA
  • DPO : valide les traitements impliquant des données personnelles, maintient le registre à jour

Section 6 : Formation obligatoire

La politique n'a d'effet que si les collaborateurs la connaissent. Rendez la formation obligatoire — mais faites-la courte et utile :

  • Module de sensibilisation (30 minutes) : à compléter dans les 30 jours suivant la publication de la politique
  • Attestation de prise de connaissance pour tous les collaborateurs ayant accès aux outils IA
  • Mise à jour annuelle lors de la révision de la politique

Section 7 : Révision annuelle

La réglementation IA évolue rapidement. Planifiez une révision annuelle de la politique avec :

  • Mise à jour de la liste des outils approuvés
  • Intégration des nouvelles exigences réglementaires (EU AI Act, RGPD, recommandations CNIL)
  • Retour d'expérience sur les incidents et les demandes d'approbation
  • Ajustement des usages autorisés en fonction de la maturité de l'organisation

Le piège à éviter : la politique trop restrictive

Une politique IA trop restrictive ne supprime pas les usages IA — elle les pousse dans l'ombre. Le shadow AI (collaborateurs utilisant ChatGPT sur leur téléphone personnel pour des données professionnelles) est plus dangereux que l'usage encadré. Préférez une politique réaliste, avec une liste d'outils approuvés accessible, à une politique idéale que personne ne respecte.

À retenir

  • La politique IA est un document opérationnel, pas un document de communication — elle doit dire précisément ce qui est permis et ce qui ne l'est pas
  • La liste des fournisseurs approuvés avec un délai de réponse garanti est la clé de l'adoption : sans elle, les collaborateurs contournent
  • Une politique trop restrictive crée du shadow AI — calibrez les règles sur ce que vos collaborateurs font déjà en pratique
  • Pour aller plus loin : Gouvernance IA : charte, politique et comité — comment articuler les trois