Charte IA : cadrer l'usage de l'intelligence artificielle en entreprise

Vos équipes utilisent déjà ChatGPT, Copilot ou Claude pour rédiger des comptes rendus, trier des candidatures ou répondre à des clients. Le plus souvent sans cadre, sans validation, et sans que le DPO le sache. La charte IA est le document qui transforme ce shadow AI en usage maîtrisé : un cadre interne qui dit qui peut utiliser quel système d'IA, pour quoi, avec quelles garanties. Loin d'être un gadget RH, c'est aujourd'hui une brique concrète de conformité à l'AI Act et au RGPD. Ce guide explique ce que doit contenir une charte IA, comment elle s'articule avec vos obligations réglementaires, et comment la déployer sans bloquer l'innovation.

Qu'est-ce qu'une charte IA

Une charte IA est un document interne qui fixe les règles d'usage de l'intelligence artificielle au sein d'une organisation. Elle s'adresse à l'ensemble des collaborateurs et précise quels systèmes d'IA sont autorisés, dans quels cas, par qui, et sous quelles conditions de supervision. Elle joue pour l'IA le rôle que la charte informatique joue pour les outils numériques classiques : poser un cadre opposable, pédagogique et évolutif.

Il faut la distinguer de deux documents voisins. La charte informatique encadre l'usage des moyens de communication électroniques (messagerie, internet, matériel). La charte IA, elle, se concentre sur les systèmes d'IA : outils génératifs, modèles de scoring, agents conversationnels, solutions de traitement automatisé. Les deux sont complémentaires et peuvent cohabiter, mais la charte IA répond à des risques spécifiques que la charte informatique ne couvre pas.

Charte IA, politique IA et registre IA

Dans une démarche de gouvernance, trois objets se répondent. La charte IA porte les règles d'usage destinées aux utilisateurs finaux. La politique IA (ou politique de gouvernance de l'IA) est le document de pilotage interne qui définit la gouvernance, les rôles et les processus de validation des nouveaux usages. Le registre des systèmes d'IA recense les systèmes effectivement déployés, leur niveau de risque et leur responsable. La charte est la couche visible de cet ensemble : elle traduit en règles concrètes les décisions prises au niveau de la politique.

Pourquoi la charte IA est devenue une brique de conformité AI Act

L'AI Act (règlement UE 2024/1689, entré en vigueur le 1er août 2024) ne mentionne pas explicitement la "charte IA". Mais plusieurs de ses obligations se matérialisent, en pratique, dans ce document. C'est le cas notamment de l'article 4, applicable depuis le 2 février 2025, qui impose aux fournisseurs et déployeurs de systèmes d'IA de garantir un niveau suffisant de maîtrise de l'IA (AI literacy) chez les personnes qui les utilisent. Une charte IA est l'un des supports les plus directs pour documenter cet effort de sensibilisation.

La charte sert aussi de relais opérationnel à plusieurs autres exigences du règlement.

• Cartographie des systèmes : avant d'écrire des règles d'usage, l'organisation doit recenser les systèmes d'IA en place et qualifier leur niveau de risque au sens de l'AI Act (inacceptable, élevé, limité, minimal). La charte s'appuie sur cette cartographie.
• Transparence (article 50) : pour les systèmes à risque limité, l'AI Act impose d'informer les personnes qu'elles interagissent avec une IA et de marquer les contenus générés. La charte traduit cette obligation en consignes concrètes pour les équipes.
• Supervision humaine (article 14) : pour les systèmes à haut risque, un contrôle humain effectif est exigé. La charte précise qui valide quoi et dans quels cas une décision automatisée ne peut pas être appliquée sans relecture.
• Traçabilité : la charte renvoie au registre des systèmes d'IA, qui documente les usages et facilite la preuve de conformité en cas de contrôle.

Pour situer la charte IA dans l'architecture plus large de mise en conformité, notre guide complet AI Act détaille les obligations par niveau de risque et le calendrier d'application.

L'articulation avec le RGPD

La plupart des usages d'IA en entreprise impliquent des données personnelles : un prompt qui contient le nom d'un client, un CV soumis à un outil de tri, un enregistrement d'appel transcrit. La charte IA est donc aussi un instrument RGPD. Elle rappelle les principes de minimisation et de finalité, interdit l'injection de données sensibles dans des outils non maîtrisés, et renvoie aux analyses d'impact lorsque le traitement le justifie. Quand un système d'IA traite des données personnelles à grande échelle ou prend des décisions ayant un effet significatif sur les personnes, une analyse d'impact (AIPD) peut être obligatoire au titre de l'article 35 du RGPD.

Ce que doit contenir une charte IA

Il n'existe pas de modèle unique imposé par la réglementation. Mais une charte IA opérationnelle couvre généralement les rubriques suivantes.

• Champ d'application et définitions : qui est concerné (salariés, prestataires, alternants), ce qu'on entend par système d'IA, et quels outils sont visés.
• Principes directeurs : les valeurs cadres (transparence, supervision humaine, protection des données, non-discrimination) qui guident tout usage.
• Outils autorisés et interdits : la liste, ou les critères, des solutions validées par l'organisation, et celles à proscrire (outils grand public non maîtrisés pour les données confidentielles, par exemple).
• Règles d'usage des données : ce qu'on peut ou non soumettre à un outil d'IA (interdiction des données sensibles, des secrets d'affaires, des données clients dans des outils non contractualisés).
• Transparence et marquage : obligation de signaler un contenu généré par IA quand c'est requis, et de mentionner l'usage d'une IA dans les interactions concernées.
• Supervision et validation : les cas où une relecture humaine est obligatoire avant qu'une production d'IA soit utilisée ou diffusée.
• Rôles et responsabilités : qui pilote la gouvernance IA, qui valide les nouveaux usages, comment remonter un incident ou demander l'ajout d'un outil.
• Sanctions et révision : le caractère opposable de la charte et sa fréquence de mise à jour, l'IA évoluant vite.

Un document vivant, pas une couche juridique figée

Une charte IA déposée sur l'intranet et jamais relue ne protège personne. Pour être effective, elle doit être portée par une démarche de sensibilisation, mise à jour quand de nouveaux outils arrivent, et reliée à un point de contact clair pour les questions des équipes. C'est cette dimension vivante qui fait la différence entre un document de façade et un vrai outil de gouvernance.

Comment déployer une charte IA dans votre organisation

Le déploiement réussi d'une charte IA suit une logique d'audit puis de cadrage, plutôt que l'inverse. Écrire des règles avant de savoir ce que font réellement les équipes mène à une charte théorique, vite contournée.

• Cartographier les usages réels : recenser les outils d'IA déjà utilisés, y compris le shadow AI, et les données qu'ils manipulent. Cette étape révèle souvent des usages non maîtrisés.
• Qualifier le risque : classer chaque système selon les niveaux de l'AI Act et identifier ceux qui touchent à des données personnelles ou à des décisions sensibles.
• Rédiger la charte : traduire la cartographie et la politique de gouvernance en règles claires, lisibles par des non-juristes.
• Faire valider et diffuser : associer direction, DSI, RH, DPO et représentants du personnel, puis communiquer largement.
• Sensibiliser et maintenir : accompagner la charte d'une action de sensibilisation et prévoir une revue périodique.

La gouvernance de l'IA ne repose jamais sur une seule fonction. Comme le rappelle la tribune sur le rôle du RSSI dans la gouvernance IA, direction, DPO, juristes, RH et DSI doivent partager la responsabilité. La charte IA est précisément l'objet qui formalise ce partage. Les organisations qui visent une certification structurante peuvent par ailleurs s'appuyer sur la norme ISO 42001, qui pose un système de management de l'IA cohérent avec l'AI Act.

Chez Leto, l'audit des systèmes d'IA et de leurs sous-traitants est outillé par Hari, notre assistant de conformité, pour cartographier rapidement les usages et préparer le registre. Pour voir comment cette cartographie alimente une charte IA et votre conformité AI Act, vous pouvez demander une démo.

Les erreurs fréquentes à éviter

Quelques écueils reviennent régulièrement quand une organisation se lance dans sa première charte IA.

• Copier un modèle générique sans cartographie : une charte qui ne reflète pas les usages réels de l'organisation reste lettre morte.
• Confondre charte IA et charte informatique : ajouter une ligne sur l'IA dans la charte informatique existante ne suffit pas à couvrir les risques spécifiques des systèmes d'IA.
• Tout interdire : une charte trop restrictive pousse les équipes vers le shadow AI. L'objectif est d'encadrer, pas de bannir.
• Oublier le registre : sans registre des traitements et registre des systèmes d'IA tenus à jour, la charte n'a pas de socle documentaire et la preuve de conformité devient difficile.
• Négliger la sensibilisation : la charte ne vit que si les équipes la comprennent. Un programme de sensibilisation à l'IA est le complément indispensable du document.

Questions fréquemment posées

Une charte IA est-elle obligatoire ?

Aucun texte n'impose explicitement de rédiger un document nommé charte IA. En revanche, l'AI Act crée des obligations (maîtrise de l'IA via l'article 4 depuis février 2025, transparence, supervision humaine) que la charte permet de matérialiser et de documenter. C'est donc un outil fortement recommandé, à la fois pour se conformer et pour prouver sa conformité en cas de contrôle.

Quelle différence entre une charte IA et une charte informatique ?

La charte informatique encadre l'usage des moyens numériques de l'entreprise (messagerie, internet, matériel). La charte IA se concentre sur les systèmes d'intelligence artificielle et leurs risques propres : usage des données dans les prompts, supervision humaine, transparence sur les contenus générés. Les deux sont complémentaires et il est recommandé de ne pas se contenter d'ajouter un paragraphe IA à la charte informatique.

Qui doit rédiger la charte IA dans l'entreprise ?

La rédaction est un travail collectif. Le DPO et le service juridique apportent le cadre réglementaire (RGPD, AI Act), la DSI et le RSSI la dimension technique et sécurité, les RH la portée à l'égard des salariés et le dialogue social. La direction valide et porte le document. Aucune fonction ne peut être seule responsable de la gouvernance de l'IA.

La charte IA suffit-elle pour être conforme à l'AI Act ?

Non. La charte est une brique, pas l'ensemble du dispositif. La conformité AI Act suppose aussi une cartographie des systèmes, leur classification par niveau de risque, un registre, des analyses d'impact quand elles sont requises et, pour les systèmes à haut risque, des obligations techniques spécifiques. La charte traduit ces exigences en règles d'usage, mais ne les remplace pas.

Faut-il consulter les représentants du personnel ?

Comme pour la charte informatique, une charte IA qui crée des règles opposables aux salariés et peut donner lieu à des sanctions a vocation à être intégrée au règlement intérieur ou annexée à celui-ci. Dans ce cas, la consultation des instances représentatives du personnel est requise, et la charte doit suivre la procédure applicable au règlement intérieur.