Charte IA en entreprise : modèle et règles à fixer en 2026

Réponse rapide. Une charte IA est un document interne qui encadre l'usage des outils d'intelligence artificielle dans l'entreprise : périmètre, outils autorisés, données interdites en saisie, relecture humaine et formation. En 2026, elle s'articule avec le RGPD et le règlement (UE) 2024/1689 et se construit en six étapes simples.

Vos équipes utilisent déjà l'IA générative, que vous l'ayez décidé ou non. Un commercial colle un fichier clients dans un assistant pour rédiger un e-mail, un comptable demande une synthèse à partir d'un grand livre, un dirigeant fait relire un contrat. Chacun gagne du temps, et chacun expose potentiellement des données sensibles dans un outil grand public. La charte IA sert précisément à transformer cet usage spontané en pratique maîtrisée, sans freiner les gains de productivité.

Nous voyons dans les dossiers la même séquence revenir : l'IA s'installe par le bas, outil après outil, avant qu'aucune règle ne soit écrite. La charte n'arrive souvent qu'après un premier incident, une donnée client saisie au mauvais endroit ou un contenu erroné envoyé à l'extérieur. Cet article propose un modèle de charte en six étapes et les points de vigilance que nous signalons à nos clients.

L'enjeu n'est pas théorique. Trois cadres se superposent et concernent toute entreprise, quelle que soit sa taille.

Le règlement (UE) 2024/1689, dit règlement sur l'intelligence artificielle, est entré en vigueur le 1er août 2024 et s'applique de façon échelonnée. Les pratiques d'IA interdites de son article 5 et l'obligation de littératie en IA s'appliquent depuis le 2 février 2025. Les obligations des modèles d'IA à usage général s'appliquent depuis le 2 août 2025. Les règles applicables aux systèmes à haut risque listés à l'annexe III s'appliquent à compter du 2 août 2026. Les sanctions peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires annuel mondial.

Le RGPD, règlement (UE) 2016/679, impose le principe de minimisation des données : on ne traite que les données strictement nécessaires (art. 5, 1, c). Une donnée pseudonymisée reste une donnée personnelle, contrairement à une donnée anonymisée. Pour les traitements susceptibles d'engendrer un risque élevé, une analyse d'impact relative à la protection des données est requise (art. 35).

Le secret professionnel s'ajoute pour certaines professions. En tant qu'expert-comptable, nous sommes tenus au secret par l'ordonnance n° 45-2138 du 19 septembre 1945 et le code de déontologie : les données de nos clients ne peuvent pas circuler librement vers un outil tiers. La même logique vaut pour tout métier manipulant des données confidentielles.

Notre lecture. La charte IA n'est pas un exercice de conformité de plus. C'est l'outil le plus rapide pour réduire un risque concret et immédiat, la fuite de données par un outil gratuit, tout en posant les bases d'une montée en compétence des équipes. Une charte courte et appliquée vaut mieux qu'un règlement long et oublié.

Voici la trame que nous recommandons. Chaque étape produit une section de la charte.

Étape 1 : recenser les usages de l'IA#

Commencez par lister les outils réellement utilisés, service par service. La rédaction, la traduction, l'analyse de données, la relation client, le code, la comptabilité. Notez qui les utilise, sur quels fichiers et avec quel compte, personnel ou professionnel.

Ce recensement révèle presque toujours des usages que la direction ignorait. Sans cette photographie de départ, la charte encadre des usages théoriques alors que les vrais risques se logent dans les outils adoptés en marge.

Étape 2 : classer les usages par niveau de risque#

Hiérarchisez chaque usage selon les données traitées et l'impact d'une erreur. Le règlement (UE) 2024/1689 distingue les pratiques interdites de l'article 5, les systèmes à haut risque de l'annexe III et les usages courants.

Cette grille évite deux travers symétriques : tout interdire, ce qui pousse les équipes à contourner la règle, ou tout autoriser, ce qui expose l'entreprise. L'effort de contrôle se concentre alors sur les traitements sensibles.

Étape 3 : définir les données autorisées et interdites#

C'est la section la plus consultée au quotidien. Elle doit être courte et concrète. Le tableau ci-dessous illustre le principe de tri.

Le principe directeur est simple : on ne saisit jamais de données personnelles ou confidentielles dans un outil grand public. La minimisation imposée par le RGPD se traduit ici par une consigne opérationnelle nette.

Étape 4 : fixer la validation humaine et la traçabilité#

Une production d'IA peut être plausible et fausse. La charte exige une relecture humaine avant tout usage externe d'un contenu généré et un suivi des outils approuvés.

Précisez qui valide, ce qui doit être vérifié et comment l'usage est documenté. La traçabilité protège l'entreprise si un contenu généré est contesté ou si l'usage fait l'objet d'un contrôle.

Étape 5 : désigner un référent IA et former les équipes#

Nommez un référent qui arbitre l'adoption des nouveaux outils et répond aux questions du quotidien. Le règlement (UE) 2024/1689 impose une obligation de littératie en IA depuis le 2 février 2025 : les utilisateurs doivent comprendre les limites des outils qu'ils manient.

Une formation courte, bâtie sur les usages réels recensés à l'étape 1, fait davantage pour la conformité qu'un document signé mais jamais lu.

Étape 6 : diffuser la charte et la réviser#

Communiquez la charte, faites-la accepter et fixez une date de révision. L'écosystème évolue vite et le calendrier du règlement (UE) 2024/1689 court jusqu'au 2 août 2026 pour les systèmes à haut risque.

Une charte figée devient inexacte en quelques mois. Une revue périodique, au moins annuelle, la maintient utile et crédible.

La charte tient en quelques pages. Voici les rubriques que nous jugeons indispensables.

• Le périmètre : qui est concerné, quels outils, quels usages couverts.
• La liste des outils approuvés et la procédure pour en proposer un nouveau.
• Les données interdites en saisie, formulées simplement.
• L'obligation de relecture humaine avant usage externe.
• Les règles de traçabilité et de documentation.
• Le nom et le rôle du référent IA.
• Le rappel des obligations RGPD et du règlement (UE) 2024/1689.
• La date de mise à jour et la fréquence de révision.

Arbitrage. Faut-il interdire les outils grand public ou les encadrer ? L'interdiction totale est tentante mais pousse au contournement : les équipes utilisent l'outil sur un compte personnel, hors de tout contrôle. L'encadrement, avec une liste de données interdites et une version professionnelle de l'outil quand elle existe, est plus réaliste pour la plupart des PME. L'interdiction stricte se justifie pour les données les plus sensibles, comme celles couvertes par le secret professionnel.

La charte échoue rarement sur le fond. Elle échoue sur l'application.

Le risque sous-estimé. Le danger principal n'est pas l'outil officiel choisi par la direction, mais l'outil gratuit adopté discrètement par un collaborateur pressé. C'est par cette porte que sortent les données clients. Une charte qui ne traite que les outils approuvés et ignore l'usage informel passe à côté de l'essentiel.

Un deuxième piège tient à la pseudonymisation. Remplacer un nom par un code ne suffit pas à sortir la donnée du RGPD : une donnée pseudonymisée reste une donnée personnelle. Seule l'anonymisation, irréversible, fait sortir l'information du champ. Beaucoup de dirigeants croient se protéger en masquant les noms ; ce n'est pas le cas.

Le troisième piège est la confusion entre la charte et la réalité technique. Écrire qu'il est interdit de saisir des données personnelles ne configure pas l'outil. La charte doit s'accompagner de choix techniques : version professionnelle qui ne réutilise pas les données pour l'entraînement, comptes nominatifs, journalisation.

Points de vigilance 2026. Le calendrier du règlement (UE) 2024/1689 progresse : littératie en IA et pratiques interdites depuis février 2025, modèles à usage général depuis août 2025, systèmes à haut risque à compter du 2 août 2026. Si l'entreprise développe ou intègre un système relevant de l'annexe III, l'échéance d'août 2026 doit figurer dans le plan d'action. La CNIL publie par ailleurs des recommandations sur l'usage de l'IA et la protection des données qui méritent une lecture avant toute décision structurante.

Dans les dossiers de transformation, le scénario le plus courant ressemble à ceci. Une PME de services constate, lors d'un point interne, que la moitié de ses équipes utilise déjà un assistant IA gratuit, chacune avec son compte personnel, sur des documents de travail incluant parfois des éléments clients. Aucune règle n'existe. La direction hésite entre tout couper, ce qui braquerait les équipes attachées au gain de temps, et laisser faire, ce qui maintient le risque.

La charte tranche ce dilemme. Le recensement objective l'usage, le classement par risque distingue ce qui peut continuer de ce qui doit s'arrêter, la liste des données interdites donne une consigne claire, et le référent devient le point de contact qui évite le retour aux comptes personnels. Le tout tient en une réunion de cadrage et un document court. L'enjeu n'est pas juridique avant tout : il est de sécuriser une pratique déjà installée.

Pour relier la charte à votre fonction finance, notre transformation digitale de la fonction finance intègre ces règles aux outils comptables, par exemple lorsque vous déployez l'outil Pennylane. Si l'IA touche vos écritures, notre analyse de l'IA appliquée à la comptabilité et le guide IA en comptabilité : ROI, risques et AI Act approfondissent le sujet côté comptable. Pour des exemples concrets, voyez les cas d'usage de l'IA générative en PME. Les jeunes entreprises trouveront un cadre adapté dans notre accompagnement des startups tech, et vous pouvez en discuter avec notre cabinet d'expertise comptable à Paris 8e.