L'essentiel en 30 secondes - La charte d'usage IA encadre l'utilisation des systèmes d'intelligence artificielle par les salariés. Elle devient indispensable dès qu'une PME déploie un système à haut risque au sens du Règlement (UE) 2024/1689. - Le Comité social et économique (CSE) doit être consulté avant toute mise en place d'un moyen de contrôle de l'activité des salariés (Article L. 2312-38 du Code du travail). - Un modèle structuré comprend 10 sections : périmètre, définitions, règles d'usage, données, transparence, responsabilités, formation, signalement, sanctions, révision. - Les sanctions cumulent l'EU AI Act (jusqu'à 7% du CA mondial pour les pratiques interdites, Art. 99) et le RGPD (jusqu'à 4% du CA, Article 83). - Outils gratuits : AI Act Service Desk de la Commission européenne, fiches pratiques IA de la CNIL, norme ISO/IEC 42001:2023.
L'arrivée massive d'outils comme ChatGPT, Copilot ou Mistral dans les PME françaises pose un problème opérationnel concret. Les collaborateurs utilisent ces outils sans cadre, parfois en injectant des données clients ou des contrats confidentiels. L'employeur reste responsable, juridiquement et financièrement.
La charte d'usage IA est l'instrument qui formalise les règles. Bien rédigée, elle protège l'entreprise, sécurise les salariés, et démontre la conformité au Règlement (UE) 2024/1689 et au RGPD. Mal rédigée — ou imposée sans consultation du CSE — elle expose l'entreprise à des recours prud'homaux et à des sanctions administratives.
Cet article détaille le cadre légal, le contenu attendu, la procédure CSE, et fournit la trame d'un modèle adapté aux PME de 10 à 250 salariés.
1. Pourquoi une charte d'usage IA est indispensable pour les PME
Le déploiement d'outils d'IA générative dans une PME s'accompagne de risques opérationnels mesurables : fuite de données stratégiques, biais de décision, atteinte à la vie privée des salariés, non-conformité réglementaire. La charte d'usage est l'outil de référence qui répond à ces risques.
Quatre fondements la rendent nécessaire.
Fondement réglementaire AI Act. L'Article 4 du Règlement (UE) 2024/1689 impose à tout déployeur d'un système d'IA — y compris une PME — de garantir une « maîtrise suffisante de l'IA » (AI literacy) auprès du personnel. La charte est le support documentaire de cette obligation, applicable depuis le 2 février 2025.
Fondement RGPD. Lorsque l'IA traite des données personnelles, l'Article 32 du RGPD exige des mesures techniques et organisationnelles appropriées. Une charte écrite, diffusée et appliquée constitue l'une de ces mesures organisationnelles.
Fondement droit du travail. Le règlement intérieur ou la charte unilatérale qui encadre l'usage d'outils numériques relève du pouvoir de direction de l'employeur. Mais dès lors que la charte introduit un dispositif de contrôle de l'activité, la consultation du CSE devient obligatoire.
Fondement assurantiel. Les assureurs cyber et RC professionnelle conditionnent de plus en plus la couverture à l'existence de politiques internes documentées sur l'usage de l'IA.
Pour une vue globale du cadre applicable aux PME françaises, consultez notre pillar AI Act PME France.
2. Les obligations légales clés à connaître
Plusieurs textes se superposent. Une charte conforme doit traiter chacun d'eux.
| Texte | Disposition clé | Portée pour la PME |
|---|---|---|
| Règlement (UE) 2024/1689 | Art. 4 (AI literacy), Art. 26 (déployeurs systèmes haut risque), Art. 50 (transparence IA générative) | Obligatoire dès qu'un système d'IA est utilisé dans un contexte professionnel |
| RGPD (UE) 2016/679 | Art. 5, 22, 32 — licéité, décision automatisée, sécurité du traitement | Obligatoire dès traitement de données personnelles via un outil d'IA |
| Code du travail | Art. L. 1222-4 (information du salarié), Art. L. 2312-38 (consultation CSE) | Obligatoire si la charte introduit un contrôle d'activité |
| ISO/IEC 42001:2023 | Système de management de l'IA | Référentiel volontaire, mais structurant pour la conformité |
| ISO/IEC 27001:2022 | Sécurité de l'information | Recommandée, complémentaire à la charte |
L'Article 26 du Règlement (UE) 2024/1689 précise que le déployeur d'un système d'IA à haut risque doit « confier la surveillance humaine à des personnes physiques disposant des compétences, de la formation et de l'autorité nécessaires ». La charte matérialise cette désignation.
Pour le panorama complet des sanctions applicables, consultez notre article dédié aux sanctions AI Act pour les PME.
3. Les 5 éléments structurants d'une charte d'usage IA
Une charte d'usage IA opérationnelle s'articule autour de cinq blocs cohérents. Chacun répond à une question précise des collaborateurs et des juges en cas de contentieux.
Bloc 1 — Objectifs et périmètre. Quels systèmes d'IA sont concernés ? Quels services ou métiers ? La charte couvre-t-elle uniquement l'IA générative grand public, ou inclut-elle aussi les outils internes développés ou intégrés ?
Bloc 2 — Règles d'utilisation. Quels usages sont autorisés, encadrés ou interdits ? La charte doit lister les cas concrets. Exemple : interdiction d'injecter des données clients nominatives dans un outil d'IA générative public sans accord préalable du DPO.
Bloc 3 — Responsabilités. Qui est responsable de quoi ? L'utilisateur final, le manager, le DPO, le RSSI, l'IA Lead. La charte établit une chaîne de responsabilité claire et conforme à l'Article 26 AI Act.
Bloc 4 — Procédures de signalement et de contrôle. Comment un salarié signale-t-il une dérive ou une suspicion d'incident ? Quels indicateurs sont surveillés et par qui ?
Bloc 5 — Sanctions et mécanismes de contrôle. Quelle gradation de sanctions ? La charte ne peut pas créer de sanctions inédites, mais elle peut rappeler le régime disciplinaire existant et le lier aux manquements liés à l'IA.
Ces cinq blocs forment la colonne vertébrale. Le modèle détaillé en section 4 ajoute cinq sections complémentaires : définitions, données, transparence, formation, révision.
Besoin d'un modèle de charte d'usage IA prêt à l'emploi ?
regulia met à disposition un pack documentaire complet : charte d'usage IA, registre des systèmes d'IA, procédure de consultation CSE, et matrice de classification des risques selon l'AI Act. Adapté aux PME de 10 à 250 salariés.
Recevoir le pack charte IA4. Modèle de charte d'usage IA pour les PME : 10 sections
Voici la trame complète d'une charte d'usage IA opérationnelle. Chaque section est obligatoire pour une PME française qui souhaite couvrir son risque réglementaire et social.
| Section | Contenu attendu | Référence légale |
|---|---|---|
| 1. Préambule et objectifs | Contexte, motivation, valeurs | Art. 4 Règl. (UE) 2024/1689 |
| 2. Définitions et périmètre | Système d'IA, IA générative, déployeur, fournisseur | Art. 3 Règl. (UE) 2024/1689 |
| 3. Systèmes autorisés | Liste positive des outils validés (registre) | Art. 26 Règl. (UE) 2024/1689 |
| 4. Règles d'usage | Cas autorisés, encadrés, interdits | Art. 5 Règl. (UE) 2024/1689 |
| 5. Données et confidentialité | Catégories de données, prompts, sortie | Art. 5, 32 RGPD |
| 6. Transparence et information | Obligation d'indiquer un usage IA | Art. 50 Règl. (UE) 2024/1689 |
| 7. Responsabilités | Utilisateur, manager, DPO, RSSI, IA Lead | Art. 26 Règl. (UE) 2024/1689 |
| 8. Formation et AI literacy | Programme initial et continu | Art. 4 Règl. (UE) 2024/1689 |
| 9. Signalement et incidents | Canal interne, escalade, journalisation | Art. 26.5 Règl. (UE) 2024/1689 |
| 10. Sanctions et révision | Régime disciplinaire, fréquence de révision | Code du travail, Art. L. 1331-1 |
4.1 Préambule et objectifs
Le préambule rappelle que l'entreprise déploie des systèmes d'IA pour des objectifs précis (productivité, qualité, conformité), tout en s'engageant à respecter les droits fondamentaux des salariés et des tiers. Trois à cinq lignes suffisent.
4.2 Définitions et périmètre
Reprendre verbatim les définitions de l'Article 3 du Règlement (UE) 2024/1689. Préciser que la charte s'applique à tous les salariés, stagiaires, intérimaires et prestataires intervenant dans les locaux ou sur les systèmes d'information de l'entreprise.
4.3 Systèmes d'IA autorisés
Tenir un registre interne. Tout outil non listé est interdit par défaut. Cette logique de liste positive simplifie le contrôle et démontre la maîtrise documentée exigée par l'AI Act.
4.4 Règles d'usage
C'est le cœur opérationnel. La charte distingue trois zones :
- Usages autorisés : rédaction de contenus marketing publics, brainstorming d'idées, traduction de textes non confidentiels.
- Usages encadrés : analyse de documents internes (avec anonymisation préalable), génération de code (avec revue humaine systématique), aide à la rédaction de mails clients (avec validation manager).
- Usages interdits : injection de données personnelles de clients ou salariés dans un outil public, prise de décision automatisée sur le recrutement ou la promotion sans validation humaine, génération de contenus à destination juridique sans relecture par un avocat.
4.5 Données et confidentialité
Préciser explicitement que les prompts envoyés à un outil d'IA générative public peuvent être utilisés pour entraîner des modèles tiers. Lister les catégories de données strictement interdites de prompt : données de santé, données bancaires, données concernant les mineurs, secrets d'affaires, contrats clients.
4.6 Transparence et information
L'Article 50 du Règlement (UE) 2024/1689 impose, à compter du 2 août 2026, l'information explicite des destinataires lorsqu'un contenu est généré ou substantiellement modifié par une IA. La charte doit rappeler cette obligation aux salariés produisant des contenus externes.
4.7 Responsabilités
Désigner nommément ou par fonction : l'IA Lead (responsable du registre des systèmes d'IA), le DPO (validation des traitements de données), le RSSI (sécurité technique des outils), le manager (contrôle de l'usage opérationnel), l'utilisateur (respect quotidien de la charte).
4.8 Formation et AI literacy
L'Article 4 du Règlement (UE) 2024/1689 impose une « maîtrise suffisante de l'IA ». La charte formalise un programme : module d'accueil pour les nouveaux entrants, formation annuelle pour tous les utilisateurs, formation renforcée pour les utilisateurs de systèmes à haut risque.
4.9 Signalement et gestion des incidents
Mettre en place un canal dédié (mail, ticket, ou outil GRC). Tout salarié constatant une dérive — biais discriminatoire, fuite de données, hallucination critique — doit pouvoir alerter sans crainte de représailles. L'Article 26.5 du Règlement (UE) 2024/1689 impose au déployeur d'informer le fournisseur en cas d'incident grave.
4.10 Sanctions et révision
Rappeler que les manquements relèvent du régime disciplinaire prévu au règlement intérieur (Article L. 1331-1 du Code du travail). Prévoir une révision annuelle de la charte, ou plus fréquente en cas d'évolution réglementaire majeure.
5. Comment impliquer le CSE dans la mise en place de la charte
La consultation du CSE est l'étape la plus souvent négligée — et la plus risquée juridiquement. Une charte adoptée sans consultation alors qu'elle introduit un dispositif de contrôle est inopposable aux salariés.
Cadre légal. L'Article L. 2312-38 du Code du travail dispose : « Le comité social et économique est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés. » Une charte d'usage IA qui prévoit la traçabilité des prompts ou la journalisation des accès tombe dans ce périmètre.
Procédure recommandée pour une PME de 11 à 49 salariés :
- Information du CSE (réunion ordinaire ou extraordinaire) avec remise du projet de charte 15 jours avant.
- Consultation formelle avec recueil de l'avis (positif, négatif, ou réservé).
- Procès-verbal de la réunion mentionnant l'avis et les éventuelles modifications adoptées.
- Diffusion de la charte aux salariés avec mention de l'avis du CSE.
- Dépôt à l'inspection du travail si la charte modifie le règlement intérieur (entreprises ≥ 50 salariés).
Points de vigilance. Le CSE peut demander une expertise (financée par l'employeur dans certains cas). Anticiper cette possibilité dans le calendrier projet. Pour les PME entre 11 et 49 salariés, l'avis du CSE est consultatif mais structurant : un avis négatif documenté affaiblira l'employeur en cas de contentieux ultérieur.
Articulation avec le règlement intérieur. Si la charte introduit des sanctions ou des contrôles nouveaux, elle doit être annexée au règlement intérieur et suivre la procédure des Articles L. 1321-4 et suivants : consultation CSE, transmission inspection du travail, dépôt au greffe du conseil de prud'hommes.
6. Les sanctions en cas de non-respect
Le défaut de charte — ou une charte non conforme — expose l'entreprise à une triple pénalisation.
| Type de sanction | Texte | Montant |
|---|---|---|
| Violation pratiques interdites IA | Art. 99.3 Règl. (UE) 2024/1689 | Jusqu'à 35 M€ ou 7% du CA mondial |
| Violation obligations système haut risque | Art. 99.4 Règl. (UE) 2024/1689 | Jusqu'à 15 M€ ou 3% du CA mondial |
| Violation RGPD | Art. 83 RGPD | Jusqu'à 20 M€ ou 4% du CA mondial |
| Délit d'entrave CSE | Art. L. 2317-1 Code du travail | Jusqu'à 7 500 € (personne physique) |
| Inopposabilité aux salariés | Jurisprudence sociale | Annulation des sanctions disciplinaires |
L'Article 99.6 du Règlement (UE) 2024/1689 prévoit explicitement que les autorités tiennent compte de la « nature, gravité et durée de la violation » et de « la taille » de l'opérateur. Une PME qui démontre une démarche de conformité documentée — charte, registre, formation — bénéficiera d'une atténuation significative.
À l'inverse, l'absence totale de cadre interne sera retenue comme circonstance aggravante. Le détail des sanctions et la méthode de calcul sont disponibles dans notre analyse des sanctions AI Act.
Côté CNIL, plusieurs sanctions récentes ont visé l'absence de mesures organisationnelles écrites en matière de traitement automatisé. La charte est l'une des preuves de conformité les plus directes.
Sécurisez votre démarche en 30 jours
Le pack regulia inclut la charte, la consultation CSE pré-rédigée, la matrice des sanctions adaptée à votre CA, et le registre des systèmes d'IA conforme à l'Article 26 du Règlement (UE) 2024/1689.
Demander une démonstration7. Trois cas pratiques rencontrés en PME
Les retours du terrain montrent trois situations récurrentes. Chacune appelle un traitement spécifique dans la charte.
Cas 1 — ChatGPT pour rédiger des comptes-rendus clients
Situation. Une équipe commerciale utilise un outil d'IA générative grand public pour rédiger des comptes-rendus de réunion. Les noms, les chiffres d'affaires et les conditions tarifaires sont copiés-collés dans le prompt.
Risque. Violation de l'Article 5 RGPD (minimisation), risque contractuel avec les clients ayant signé une clause de confidentialité.
Traitement charte. Section 4.4 — usage encadré uniquement avec anonymisation préalable, ou bascule sur un outil disposant d'un accord de traitement des données (DPA) signé.
Cas 2 — Reconnaissance faciale pour le contrôle d'accès
Situation. Un dirigeant souhaite installer une reconnaissance faciale à l'entrée des locaux pour remplacer les badges.
Risque. Système classé à haut risque ou potentiellement interdit selon le contexte (Article 5 du Règlement (UE) 2024/1689 sur les pratiques interdites). Avis CNIL négatif quasi systématique pour ce type de dispositif en entreprise.
Traitement charte. Section 3 — système non listé, donc interdit. Tout projet de cette nature passe par une analyse d'impact (AIPD) préalable et une consultation CSE renforcée.
Cas 3 — Algorithme de tri de CV pour le recrutement
Situation. Le service RH utilise un outil de matching automatique pour filtrer les candidatures.
Risque. Système à haut risque (Annexe III, point 4 du Règlement (UE) 2024/1689). Risque de décision automatisée au sens de l'Article 22 RGPD.
Traitement charte. Section 4.4 — usage encadré avec validation humaine systématique avant rejet d'un candidat, information du candidat sur l'usage de l'IA, droit de contestation.
8. Outils et ressources utiles pour construire votre charte
Les ressources gratuites et officielles permettent de couvrir l'essentiel sans recours à un cabinet externe pour la phase initiale.
| Ressource | Usage | Coût |
|---|---|---|
| AI Act Service Desk (Commission européenne) | FAQ officielle, classification des systèmes | Gratuit |
| Fiches pratiques IA de la CNIL | 13 fiches sur le développement et l'usage de l'IA | Gratuit |
| Norme ISO/IEC 42001:2023 | Système de management de l'IA | Payant (≈ 200 €) |
| Norme ISO/IEC 23894:2023 | Gestion des risques IA | Payant (≈ 180 €) |
| Guide AI Act Cigref janvier 2025 | Lecture stratégique pour grands comptes et ETI | Gratuit |
| Guide AI Act Numeum mars 2025 | Focus éditeurs et intégrateurs | Gratuit |
Pour les définitions techniques utilisées dans la charte, le glossaire regulia propose des entrées sourcées sur les notions clés : système d'IA, déployeur, fournisseur, modèle à usage général, haut risque. La page sources recense les références officielles citées dans nos articles.
FAQ
La charte d'usage IA est-elle obligatoire pour toutes les PME ?
Non, aucun texte n'impose explicitement « la charte ». Mais l'Article 4 du Règlement (UE) 2024/1689 impose une AI literacy pour tous les déployeurs, et l'Article 26 impose une supervision humaine documentée pour les systèmes à haut risque. La charte est l'instrument le plus efficace pour matérialiser ces obligations. Pour un usage purement marginal d'IA générative grand public, une note interne peut suffire — au-delà, la charte devient indispensable.
Quelles sont les conséquences d'une charte non conforme ?
Trois conséquences cumulatives. Sanction administrative côté AI Act (jusqu'à 7% du CA mondial pour les pratiques interdites, Article 99 du Règlement (UE) 2024/1689). Sanction CNIL côté RGPD (jusqu'à 4% du CA mondial). Inopposabilité aux salariés en l'absence de consultation CSE, qui rend toute sanction disciplinaire fondée sur la charte juridiquement fragile devant le conseil de prud'hommes.
Comment impliquer le CSE dans la création de la charte ?
Information préalable 15 jours avant la réunion, remise du projet écrit, consultation formelle avec recueil d'avis, procès-verbal mentionnant les modifications adoptées. Pour les PME ≥ 50 salariés, le dépôt à l'inspection du travail est requis si la charte modifie le règlement intérieur. L'Article L. 2312-38 du Code du travail est le fondement légal principal.
Quelle est la différence entre une charte d'usage IA et une politique de sécurité ?
La politique de sécurité de l'information (PSSI) traite des mesures techniques et organisationnelles globales pour protéger le système d'information. Elle relève typiquement de l'ISO/IEC 27001:2022. La charte d'usage IA est un document spécifique aux comportements des utilisateurs face aux systèmes d'IA. Les deux documents coexistent et se renvoient mutuellement.
Où trouver un modèle de charte d'usage IA adapté aux PME ?
Plusieurs options. Côté gratuit, les fiches pratiques de la CNIL et le guide Cigref proposent des trames. Côté pack documentaire, regulia met à disposition un modèle complet (10 sections) avec consultation CSE pré-rédigée, registre des systèmes d'IA, et matrice de classification des risques. Le modèle est adaptable et livré avec un accompagnement de mise en conformité.
Sources officielles
- Règlement (UE) 2024/1689 sur EUR-Lex — version officielle de l'AI Act
- artificialintelligenceact.eu — texte intégral consolidé et explorateur d'articles
- AI Act Service Desk — Commission européenne — FAQ officielle et orientations
- CNIL — fiches pratiques IA — 13 fiches sur le développement et l'usage de l'IA
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Lignes directrices sur la gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Système de management de la sécurité de l'information
- Code du travail — Articles L. 1222-4, L. 1321-4, L. 2312-38, L. 2317-1, L. 1331-1
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.