Rédigée par Yasminatou LASSISSI – Avocate Associée – AGN AVOCATS PARIS

Un commercial envoie à ChatGPT l’intégralité d’un appel d’offres confidentiel pour en extraire une synthèse. Une juriste utilise Copilot pour rédiger un avenant et valide l’output sans le relire. Un développeur intègre un outil IA dans le workflow de production sans que personne, en dehors de son équipe, ne soit au courant. Ces trois scènes se passent dans des entreprises françaises, en ce moment, dans la plupart des secteurs.

Ce que ces entreprises ont en commun : aucune n’a de charte IA. Et celles qui en ont une, l’ont souvent rédigée en copiant un modèle générique, un document qui donne l’illusion de la conformité sans en offrir la substance juridique. 

Voici ce que la loi exige réellement, ce que les chartes du marché passent systématiquement sous silence, et comment construire en cinq étapes un document qui protège à la fois l’entreprise et ses salariés.

Pourquoi votre entreprise a besoin d’une charte IA (intelligence artificielle) maintenant et pas dans six mois ?

L’argument « on verra quand l’IA Act sera pleinement applicable » est le raisonnement le plus coûteux qu’une entreprise puisse tenir en 2026. 

L’article 26 du Règlement (UE) 2024/1689 (AI Act) impose aux déployeurs de systèmes IA, c’est-à-dire à toute entreprise qui utilise un outil IA dans ses opérations, même si elle ne l’a pas développé, une obligation d’utilisation conforme, de surveillance du fonctionnement du système, et d’information des personnes affectées par des décisions automatisées. 

Parallèlement, le RGPD s’applique dès que l’outil IA traite des données personnelles ce qui est le cas de la quasi-totalité des usages professionnels : un nom dans un e-mail, un identifiant client, une donnée RH.

Enfin, l’employeur répond de l’usage des outils qu’il met à disposition de ses salariés ou qu’il tolère. L’absence de charte ne neutralise pas la responsabilité, elle la déplace vers l’employeur en cas de litige.

Ce qu’une charte IA doit contenir et ce qu’elle ne doit surtout pas être

Une charte IA efficace n’est pas une liste de principes généraux sur «l’utilisation responsable de l’intelligence artificielle ». C’est un document qui remplit trois fonctions juridiques précises : 

• délimiter le périmètre des usages autorisés, 
• fixer les obligations des utilisateurs, 
• et répartir les responsabilités en cas d’incident.

Les mentions qui font d’une charte un document juridiquement utile sont les suivantes : 

• la liste des outils IA effectivement utilisés dans l’entreprise et leur niveau de risque au sens de l’IA Act ; 
• les catégories de données qui ne peuvent pas être traitées via ces outils ; 
• l’obligation de supervision humaine sur les outputs avant toute utilisation professionnelle ;
• les sanctions applicables en cas de non-respect et leur articulation avec le règlement intérieur.

Ce qu’une charte ne doit pas être : un document RH cosmétique qui reprend en cinq points des principes d’éthique sans les relier à un cadre légal précis, sans mentionner les outils réellement utilisés, et sans prévoir de mécanisme de sanction. Ce type de document ne protège ni l’entreprise ni les salariés. Il crée une fausse sécurité, ce qui est pire que l’absence de document.

Il convient aussi de distinguer deux niveaux de document : la politique IA interne (relevant du droit du travail, opposable aux salariés, intégrée au règlement intérieur ou en document autonome avec valeur contractuelle) et la politique IA externe (relevant du droit des contrats, opposable aux clients et partenaires, intégrée aux CGV ou aux conditions contractuelles). 

Ces deux documents n’ont pas le même régime juridique et ne peuvent pas être fusionnés en un seul texte.

Les cinq erreurs que font les entreprises en rédigeant leur charte IA

Erreur 1 : copier un modèle générique sans l’adapter au secteur

Une charte IA pour un cabinet comptable n’a pas les mêmes enjeux de confidentialité qu’une charte pour une entreprise de santé ou un prestataire de services financiers. 

Erreur 2 : ne pas distinguer les outils IA par type d’usage 

Un outil de génération de texte (ChatGPT, Copilot), un outil d’analyse de données (outil de BI augmenté) et un outil d’aide à la décision (scoring crédit, sélection de candidats) ne créent pas les mêmes risques juridiques. 

Erreur 3 : oublier la clause sur les données confidentielles et les secrets d’affaires

Beaucoup de chartes protègent les données personnelles au sens du RGPD mais oublient que les données d’entreprise (stratégie, contrats en cours, données financières non publiées) peuvent elles aussi être captées par des outils IA tiers et utilisées pour entraîner leurs modèles. 

Erreur 4 : ne pas prévoir les sanctions en cas de non-respect

Une charte sans mécanisme de sanction est une recommandation, pas une règle. Pour qu’un manquement à la charte puisse justifier une mesure disciplinaire, la charte doit être intégrée au règlement intérieur ou y être expressément renvoyée. Sans cette intégration, l’employeur ne peut pas se prévaloir du texte dans le cadre d’une procédure disciplinaire.

Erreur 5 : ne pas prévoir de révision. Un outil IA déployé en 2024 n’a pas les mêmes caractéristiques ni les mêmes risques qu’un outil déployé en 2026. La charte doit prévoir une révision annuelle au minimum et une révision immédiate en cas de changement significatif d’outil ou d’évolution réglementaire. Sans clause de révision, la charte est obsolète dès que le marché évolue.

Comment rédiger en cinq étapes une charte IA qui protège vraiment 

Étape 1 :cartographier les outils IA utilisés dans l’entreprise

Avant de rédiger quoi que ce soit, l’entreprise doit savoir quels outils ses salariés utilisent réellement. Cela suppose une démarche proactive : consultation des directions métiers, audit du shadow IA (IA fantôme), analyse des licences SaaS souscrites. Sans cette cartographie, la charte protège des outils imaginaires et ignore les outils réels.

Étape 2 : identifier les risques par catégorie d’usage

Pour chaque outil identifié, l’entreprise doit déterminer son niveau de risque au sens de l’IA Act ? les catégories de données susceptibles d’être traitées, et les cas d’usage qui pourraient engager la responsabilité de l’entreprise. Cette analyse conditionne l’ensemble de la rédaction.

Étape 3 : rédiger les règles par type d’usage

La structure la plus opérationnelle est une classification tripartite : usage autorisé, usage restreint, usage interdit. 

Cette structure est directement compréhensible par les salariés et immédiatement opposable en cas de litige.

Étape 4 : choisir le régime juridique de la charte 

Deux options : intégration au règlement intérieur ou document autonome avec valeur contractuelle. Le choix a des implications procédurales directes.

Étape 5 : former les collaborateurs et prévoir la révision

La charte la plus rigoureuse ne produit aucun effet si les salariés ne l’ont pas lue et comprise. La formation doit être documentée, preuve de l’information donnée en cas de litige. La révision annuelle doit être prévue dans le corps du document, avec un responsable désigné.

À retenir : Une charte IA se construit de l’intérieur vers l’extérieur, d’abord les outils réels, ensuite les risques, ensuite les règles. Dans l’ordre inverse, on produit un document générique qui ne couvre pas les situations réelles.

En conclusion

Une charte IA qui protège vraiment est la formalisation du seul périmètre dans lequel l’employeur peut démontrer qu’il a agi avec diligence  vis-à-vis de la CNIL, d’un juge, ou de ses propres salariés en cas d’incident.

Rédigée par Yasminatou LASSISSI

Avocate Associée – AGN AVOCATS PARIS

***

Ces enjeux dépassent largement un simple cadre juridique : ils interrogent l’organisation, les outils et les méthodes de travail des directions juridiques.

Chez Your Legal Angel, nous accompagnons concrètement les équipes dans cette transformation, de la réflexion stratégique à la mise en œuvre opérationnelle.

Vous vous posez les mêmes questions ? Échangeons.