L'essentiel en 30 secondes - La charte d'usage IA encadre l'utilisation des systèmes d'intelligence artificielle par les collaborateurs d'une PME. - Elle devient un document de référence pour démontrer la conformité au Règlement (UE) 2024/1689 (AI Act) et au RGPD. - Les sanctions atteignent 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99 AI Act). - Le socle technique repose sur trois textes : AI Act, RGPD et norme ISO/IEC 42001:2023. - L'obligation de littératie IA (Art. 4 AI Act) est entrée en application le 2 février 2025 — la charte en est le support naturel. - Un modèle structuré en 6 parties suffit pour les PME de 10 à 250 salariés.
La charte d'usage IA n'est pas un gadget RH. C'est l'outil qui aligne vos collaborateurs sur vos obligations réglementaires, qui matérialise votre politique interne et qui protège votre PME en cas de contrôle. Sans elle, les pratiques individuelles divergent, les fuites de données via ChatGPT se multiplient et la traçabilité disparaît.
Cet article détaille les éléments obligatoires, propose un modèle structuré et fournit des exemples concrets adaptés aux PME françaises de 10 à 250 salariés. Pour une vision d'ensemble du cadre réglementaire, consultez notre guide AI Act pour les PME françaises.
1. Pourquoi une charte d'usage IA est-elle essentielle pour les PME ?
Trois forces convergent pour rendre la charte indispensable. L'AI Act impose des obligations spécifiques aux déployeurs de systèmes d'IA, le RGPD encadre tout traitement de données personnelles assisté par IA, et la pratique quotidienne des collaborateurs crée des risques opérationnels nouveaux.
1.1 L'obligation de littératie IA (Art. 4 AI Act)
L'Article 4 du Règlement (UE) 2024/1689 impose aux fournisseurs et déployeurs de systèmes d'IA de « prendre des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA » de leur personnel. Cette obligation s'applique depuis le 2 février 2025. La charte est le vecteur naturel pour structurer cette obligation : elle définit, encadre et trace la formation des collaborateurs.
1.2 La protection des données personnelles
Les collaborateurs qui collent des données clients dans un assistant IA grand public exposent l'entreprise à une violation RGPD. La CNIL a publié 13 fiches pratiques sur l'IA et rappelle que tout traitement de données personnelles par un système d'IA reste soumis au RGPD. Une charte qui interdit explicitement ces pratiques crée une preuve documentée de diligence.
1.3 La prévention des sanctions financières
Les sanctions AI Act vont de 7,5 millions d'euros (ou 1 % du CA) pour les manquements légers à 35 millions d'euros (ou 7 % du CA mondial) pour les pratiques interdites de l'Article 5. Pour le détail des sanctions et un simulateur, consultez notre article dédié aux sanctions AI Act et amendes PME.
1.4 L'établissement d'une culture de responsabilité
Au-delà de la conformité, la charte structure une culture d'entreprise. Elle aligne les équipes commerciales, techniques, RH et juridiques sur un référentiel commun. C'est aussi un argument différenciant face aux clients qui auditent leurs prestataires sur leurs pratiques IA.
2. Les éléments obligatoires d'une charte d'usage IA
Une charte minimaliste protège mal. Une charte de 80 pages n'est jamais lue. L'équilibre se trouve autour de 8 à 15 pages structurées en blocs courts.
| Élément | Contenu attendu | Source réglementaire |
|---|---|---|
| Définitions | IA, système d'IA, données personnelles, déployeur, fournisseur, collaborateur | Art. 3 Règlement (UE) 2024/1689 |
| Objectifs et portée | Périmètre d'application, salariés concernés, systèmes couverts | Politique interne |
| Responsabilités | Rôles du collaborateur, du manager, du DPO, du référent IA | Art. 26 AI Act |
| Règles d'usage | Cas autorisés, cas interdits, conditions de consentement | RGPD + Art. 50 AI Act |
| Sécurité et confidentialité | Classification des données, outils autorisés, journalisation | ISO/IEC 27001:2022 |
| Procédure de signalement | Canal interne, délais, protection du lanceur d'alerte | Loi Sapin II + Art. 73 AI Act |
| Sanctions disciplinaires | Échelle de mesures en cas de violation | Code du travail |
| Annexes | Liste des systèmes d'IA déployés, classification de risque | ISO/IEC 42001:2023 |
2.1 Définitions précises
Reprendre les définitions de l'Article 3 du Règlement (UE) 2024/1689 garantit la cohérence avec le texte légal. Évitez les définitions « maison » qui créent des ambiguïtés en cas de contentieux.
2.2 Procédures de signalement
L'Article 73 AI Act impose aux fournisseurs de systèmes à haut risque de notifier les incidents graves. Côté déployeur PME, la charte doit prévoir un canal interne (DPO, référent IA, RSSI) avec un délai de remontée. Inspirez-vous du dispositif d'alerte interne issu de la loi Sapin II.
3. Les règles d'usage de l'IA à inclure
C'est la partie la plus consultée par les collaborateurs. Elle doit être concrète, illustrée par des exemples et sans ambiguïté.
3.1 Consentement et données personnelles
Aucune donnée personnelle (client, salarié, prospect) ne doit être saisie dans un système d'IA grand public sans base légale RGPD valide. La charte doit lister les outils autorisés, ceux interdits et les conditions de l'autorisation. Pour les définitions de base, voir notre glossaire.
3.2 Transparence (Art. 50 AI Act)
L'Article 50 du Règlement (UE) 2024/1689 impose d'informer les utilisateurs lorsqu'ils interagissent avec un système d'IA, lorsqu'ils sont exposés à un système de reconnaissance d'émotions, ou lorsqu'ils consultent un contenu généré par IA (texte, image, audio, vidéo). Cette obligation s'applique à partir du 2 août 2026. La charte doit prévoir les mentions types à utiliser.
3.3 Sécurité des données
Croiser les exigences ISO/IEC 27001:2022 (sécurité de l'information) et ISO/IEC 42001:2023 (management des systèmes d'IA) permet de structurer les règles : classification des données en niveaux (publique, interne, confidentielle, secrète), correspondance avec les outils IA autorisés par niveau, journalisation des accès.
3.4 Usages interdits
Lister explicitement les usages interdits évite les zones grises : - Notation sociale des employés ou des clients (Art. 5 AI Act — pratique interdite) - Reconnaissance d'émotions sur le lieu de travail (sauf raisons médicales ou de sécurité) - Décisions de recrutement entièrement automatisées sans intervention humaine - Saisie de données de santé ou de données biométriques sans base légale - Utilisation d'IA générative pour produire de faux contenus à des fins de tromperie
3.5 Formation obligatoire
La formation découle directement de l'Article 4 AI Act. La charte doit prévoir : module d'accueil obligatoire à l'embauche, mise à jour annuelle, modules spécifiques selon les fonctions (RH, marketing, développement, support client).
Besoin d'une charte d'usage IA prête à déployer ?
regulia propose des modèles de charte conformes AI Act, RGPD et ISO/IEC 42001:2023, adaptés à la taille et au secteur de votre PME. Pack documentaire livré en moins de 48 heures.
Demander un devis personnalisé4. Modèle de charte d'usage IA pour PME
Voici la structure type recommandée. Chaque partie peut être adaptée selon votre secteur et votre maturité IA.
4.1 Page de garde et préambule
- Titre : Charte d'usage de l'intelligence artificielle
- Version, date d'entrée en vigueur, date de prochaine révision
- Signature du dirigeant
- Préambule rappelant le cadre réglementaire : Règlement (UE) 2024/1689 (AI Act), Règlement (UE) 2016/679 (RGPD), norme ISO/IEC 42001:2023
4.2 Partie 1 — Définitions et portée
Reprendre les définitions de l'Article 3 du Règlement (UE) 2024/1689, préciser le périmètre des collaborateurs concernés (salariés, prestataires, stagiaires, alternants), lister les types de systèmes d'IA couverts (assistants conversationnels, IA générative, systèmes de recommandation, outils de scoring, etc.).
4.3 Partie 2 — Règles d'usage
Structurée en sous-sections : usages autorisés sans restriction, usages autorisés sous conditions, usages strictement interdits. Chaque catégorie illustrée par 2-3 exemples concrets tirés du quotidien des collaborateurs.
4.4 Partie 3 — Responsabilités
| Rôle | Responsabilité principale |
|---|---|
| Collaborateur | Respect de la charte, signalement d'incidents, suivi des formations |
| Manager | Vérification de la conformité des pratiques d'équipe, validation des cas d'usage |
| Référent IA | Tenue du registre des systèmes d'IA, conseil aux équipes, lien avec le DPO |
| DPO | Conformité RGPD des traitements assistés par IA |
| RSSI | Sécurité technique des systèmes d'IA, journalisation, gestion des accès |
| Direction | Validation de la charte, allocation des ressources, arbitrages |
4.5 Partie 4 — Sanctions disciplinaires
Échelle de mesures graduées : rappel oral, avertissement écrit, mise à pied, licenciement pour faute grave dans les cas les plus sévères (Art. 5 AI Act). La charte doit être annexée au règlement intérieur après consultation du CSE pour être opposable.
4.6 Annexes
- Annexe A : Liste des systèmes d'IA déployés avec leur classification de risque (interdit / haut risque / risque limité / risque minimal)
- Annexe B : Liste des outils IA autorisés et interdits
- Annexe C : Procédure détaillée de signalement d'incident
- Annexe D : Glossaire complet
- Annexe E : Liens vers les sources officielles
5. Exemples de chartes d'usage IA
Toutes les PME n'ont pas les mêmes besoins. Voici trois niveaux d'adaptation.
5.1 Exemple 1 : Charte simple pour PME de 10 à 50 salariés
Format léger de 8 à 10 pages. Pas de référent IA dédié — le rôle est porté par le dirigeant ou le DPO mutualisé. Liste restreinte de 3 à 5 outils IA autorisés (ex : Microsoft Copilot, ChatGPT Enterprise, un outil métier). Procédure de signalement : email direct au dirigeant.
5.2 Exemple 2 : Charte détaillée pour PME de 100 à 250 salariés
Format complet de 15 à 20 pages avec annexes. Référent IA désigné, comité IA trimestriel, registre des systèmes d'IA aligné sur les exigences ISO/IEC 42001:2023. Procédure de signalement formalisée via un canal d'alerte interne. Formation annuelle obligatoire avec attestation.
5.3 Exemple 3 : Modèle ISO/IEC 42001:2023 adapté
La norme ISO/IEC 42001:2023 propose un cadre de management des systèmes d'IA (AIMS). Adaptée à une PME, elle structure la charte autour des contrôles A.2 (politiques), A.4 (ressources), A.6 (cycle de vie du système d'IA) et A.8 (information aux parties intéressées).
5.4 Exemple de clause de responsabilité
Article X — Responsabilité du collaborateur
Le collaborateur s'engage à n'utiliser les systèmes d'intelligence artificielle mis à sa disposition que dans le cadre de ses missions professionnelles et conformément à la présente charte. Il s'interdit notamment de saisir des données personnelles, des données confidentielles ou des données stratégiques dans des systèmes d'IA non explicitement autorisés par l'entreprise. Toute violation de cette obligation pourra entraîner les sanctions prévues à l'article Y de la présente charte et au règlement intérieur.
6. Conseils pour la mise en œuvre
Rédiger une charte est facile. La faire vivre demande méthode.
6.1 Impliquer les collaborateurs dès la rédaction
Constituer un groupe de travail pluridisciplinaire (RH, IT, métier, juridique) qui contribue à la rédaction. Cette implication amont accélère l'adoption et fait remonter les cas d'usage réels que la direction ignore.
6.2 Tester la charte avec des cas concrets
Avant publication, organiser 3 à 5 ateliers où des collaborateurs confrontent la charte à leurs situations réelles. Les zones grises identifiées doivent être clarifiées avant le déploiement.
6.3 Mettre à jour régulièrement
L'AI Act entre en application par phases : pratiques interdites depuis le 2 février 2025, modèles d'IA à usage général depuis le 2 août 2025, systèmes à haut risque à partir du 2 août 2026. La charte doit suivre ce calendrier — révision annuelle minimum, révision exceptionnelle à chaque échéance majeure.
6.4 Associer formation et communication
La charte signée et oubliée ne protège personne. Le triptyque qui fonctionne : module e-learning à l'accueil + rappel annuel + communication ad hoc à chaque nouvel outil déployé.
6.5 Utiliser les ressources publiques
L'AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) propose des ressources gratuites pour les PME. La CNIL met à disposition 13 fiches pratiques sur l'IA. Croisez ces ressources avec votre charte pour rester aligné.
7. Intégration avec le RGPD et l'AI Act
La charte ne vit pas en silo. Elle s'articule avec votre politique de protection des données et votre système de management de l'IA.
7.1 Alignement avec le RGPD
Tout traitement de données personnelles assisté par IA reste soumis au RGPD. La charte doit renvoyer vers : la politique de protection des données, le registre des traitements, les analyses d'impact (AIPD) lorsqu'elles sont requises, les mentions d'information aux personnes concernées.
7.2 Conformité avec l'AI Act
| Obligation AI Act | Référence | Traduction dans la charte |
|---|---|---|
| Littératie IA | Art. 4 | Programme de formation obligatoire |
| Pratiques interdites | Art. 5 | Liste des usages prohibés |
| Obligations des déployeurs systèmes haut risque | Art. 26 | Procédures de surveillance humaine |
| Transparence IA générative | Art. 50 | Mentions types pour contenus générés |
| Notification d'incidents | Art. 73 | Canal interne de signalement |
7.3 Référence aux textes officiels
La charte doit citer en préambule les textes de référence avec leurs liens officiels : Règlement (UE) 2024/1689 sur eur-lex.europa.eu, RGPD sur cnil.fr, norme ISO/IEC 42001:2023 sur iso.org. Pour la liste complète des sources officielles, consultez notre page dédiée.
7.4 Plan d'action pour les risques identifiés
Après chaque révision, identifier les risques résiduels et établir un plan d'action chiffré. Ce document n'a pas à figurer dans la charte mais doit pouvoir être présenté en cas de contrôle.
8. FAQ : Questions fréquentes sur les chartes d'usage IA
Quelle est la sanction pour non-respect de la charte d'usage IA ?
Les sanctions dépendent de la nature du manquement. Côté AI Act (Art. 99 du Règlement (UE) 2024/1689), les amendes vont de 7,5 millions d'euros ou 1 % du CA mondial pour les manquements légers, jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les pratiques interdites de l'Article 5. Côté RGPD, jusqu'à 20 millions d'euros ou 4 % du CA mondial. Côté interne, les sanctions disciplinaires prévues au règlement intérieur s'appliquent.
Dois-je former tous les collaborateurs à la charte d'usage IA ?
Oui. L'Article 4 du Règlement (UE) 2024/1689 impose un niveau suffisant de littératie IA pour le personnel qui utilise ou supervise des systèmes d'IA. La portée s'étend en pratique à tous les collaborateurs, le périmètre des outils IA étant aujourd'hui très large. Modulez l'intensité : module court pour les fonctions support, formation approfondie pour les équipes qui manipulent des données sensibles ou déploient des systèmes à haut risque.
Comment gérer les systèmes d'IA à faible risque ?
Pour les systèmes à risque limité ou minimal (chatbots de support, outils de productivité, assistants de rédaction), une charte simplifiée suffit. Elle doit néanmoins inclure : protection des données saisies, interdiction d'usage non autorisé, obligation de signalement, transparence (Art. 50 AI Act lorsque le système interagit avec des humains). L'AI Act Service Desk (ai-act-service-desk.ec.europa.eu) aide à classer les risques.
La charte doit-elle être traduite pour les collaborateurs non francophones ?
Oui, si la PME emploie des collaborateurs non francophones, la charte doit leur être communiquée dans une langue qu'ils comprennent. L'opposabilité disciplinaire suppose que le collaborateur ait pu comprendre la règle. Privilégiez une traduction professionnelle avec relecture juridique, surtout pour les clauses de sanction et les définitions techniques.
Où trouver des modèles de charte d'usage IA adaptés aux PME ?
Plusieurs sources publiques proposent des éléments réutilisables : le portail artificialintelligenceact.eu pour le texte consolidé, la CNIL (cnil.fr) pour les fiches pratiques RGPD-IA, l'AI Act Service Desk (ai-act-service-desk.ec.europa.eu) pour les guides PME, le Cigref et Numeum pour les guides sectoriels publiés en 2025. Les modèles regulia combinent ces sources et les adaptent au format opérationnel d'une PME française.
Déployez votre charte IA en moins d'une semaine
Le pack regulia inclut le modèle de charte, le registre des systèmes d'IA, la procédure de signalement, le module de formation et le plan de communication interne. Tout est adapté à votre effectif et à votre secteur.
Recevoir le pack documentaire regulia9. Sources officielles
- Règlement (UE) 2024/1689 sur l'intelligence artificielle — texte consolidé
- Règlement (UE) 2024/1689 — version officielle EUR-Lex
- CNIL — Les fiches pratiques IA
- AI Act Service Desk — Commission européenne
- Norme ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
- Norme ISO/IEC 27001:2022 — Sécurité de l'information
- Norme ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.