EntrepriseRGPD & conformité

Charte d'usage de l'IA générative au travail

La charte d'usage de l'IA générative fixe des règles claires pour vos équipes : quels outils utiliser, quelles données ne jamais transmettre, quelles précautions prendre. Rédigez la vôtre en quelques minutes et comprenez chaque clause grâce à ce guide complet, à jour de l'AI Act et du RGPD.

Auteur
Rédigé et vérifié par LinealStart
Dernière mise à jour
Mis à jour le 11 juin 2026
Temps de personnalisation
~5 min pour personnaliser
Temps de lecture du guide
13 min de lecture
  • Conforme au droit français
  • PDF et Word à votre nom
  • Sans filigrane

Aperçu du document

Voici à quoi ressemble votre document, rempli avec un exemple. Le vôtre sera rédigé à partir de vos réponses.

CHARTE D'USAGE DE L'INTELLIGENCE ARTIFICIELLE

Acme SAS — entrée en vigueur le 1 juin 2026

1. Objet et périmètre

La présente charte définit les règles applicables à l'utilisation, dans le cadre professionnel, des outils d'intelligence artificielle générative au sein de Acme SAS. Elle s'applique à l'ensemble des collaborateurs (salariés, stagiaires, alternants, prestataires) ayant accès aux outils de l'entreprise. Elle complète le règlement intérieur et la charte informatique.

2. Outils autorisés

  • ChatGPT Team / Enterprise (compte fourni par l'IT)
  • Claude Pro / Team (compte fourni par l'IT)
  • Microsoft Copilot 365 (intégré au tenant entreprise)
  • GitHub Copilot Business (équipe Engineering uniquement)

3. Outils interdits

  • Comptes gratuits ou personnels d'IA générative pour un usage professionnel
  • Outils d'IA non listés sans validation préalable de la DSI et du DPO
  • Plug-ins ou extensions navigateur non audités

4. Données interdites d'injection

Il est strictement interdit de fournir aux outils d'IA, dans le cadre d'un prompt ou d'un upload, les types de données suivants :

Découvrez la suite en créant votre document

Créer mon document
Infographie : Charte d'usage de l'IA générative au travail — points clés, durée de personnalisation et nombre de références juridiques
Charte d'usage de l'IA générative au travail en bref — l'essentiel à retenir

Qu'est-ce qu'une charte d'usage de l'IA générative ?

La charte d'usage de l'intelligence artificielle est un document interne qui encadre la manière dont vos collaborateurs recourent aux outils d'IA générative (assistants conversationnels, générateurs de texte, de code ou d'image) dans le cadre professionnel. Elle pose un cadre commun : ce qui est autorisé, ce qui est interdit, et les précautions à respecter.

Ces outils se sont diffusés très vite dans les entreprises, souvent sans encadrement formel. La charte vient combler ce vide : elle protège vos données confidentielles, sécurise vos livrables, clarifie les responsabilités et inscrit votre organisation dans une démarche conforme au règlement (UE) 2024/1689, dit « AI Act », et au RGPD.

À la différence d'une simple note d'information, la charte a vocation à devenir un texte de référence. Lorsqu'elle est annexée au règlement intérieur dans les conditions prévues par le Code du travail, elle devient opposable à vos salariés et peut fonder une sanction disciplinaire en cas de manquement. C'est ce double objectif — pédagogique et juridique — qui en fait un document stratégique.

À quoi sert cette charte et qui est concerné ?

La charte poursuit un objectif simple : permettre à vos équipes de tirer parti des outils d'IA tout en maîtrisant les risques. Elle évite les usages clandestins (le « shadow AI »), protège vos secrets d'affaires et vos données personnelles, et rappelle que la responsabilité du contenu produit reste celle de l'entreprise et du collaborateur, jamais celle de l'outil.

Les personnes concernées

Tous les collaborateurs

Salariés, mais aussi stagiaires, alternants et prestataires ayant accès aux outils de l'entreprise. La charte s'applique à toute personne qui utilise l'IA pour le compte de l'organisation.

Les managers

Garants de l'application de la charte dans leur équipe, ils valident les usages sensibles et veillent à la relecture des productions livrées aux clients.

La DSI et le DPO

Ils tiennent la liste des outils autorisés, instruisent les demandes d'usage de nouveaux outils et vérifient la conformité des traitements de données personnelles.

Une démarche, pas une interdiction

L'objectif n'est pas de bannir l'IA, mais d'en organiser un usage maîtrisé. Une charte trop restrictive pousse aux usages clandestins ; une charte claire et réaliste responsabilise vos équipes et sécurise votre entreprise.

Quand mettre en place une charte IA ?

Il n'existe pas d'obligation légale générale imposant à toute entreprise d'adopter une charte IA. Mais dès que vos collaborateurs utilisent ces outils — ne serait-ce que de façon ponctuelle — l'encadrement devient une nécessité pratique et un réflexe de bonne gouvernance.

  • Vos équipes utilisent déjà des assistants d'IA, parfois via des comptes personnels non contrôlés.
  • Vous déployez officiellement des outils d'IA et souhaitez fixer les règles dès le départ.
  • Vous traitez des données personnelles ou sensibles et devez démontrer votre conformité au RGPD.
  • Vous voulez anticiper l'entrée en application progressive de l'AI Act et structurer votre gouvernance.
  • Vous souhaitez pouvoir sanctionner un usage non conforme : la charte doit alors être en place avant le manquement.

Anticipez plutôt que de réagir

Une charte adoptée après un incident (fuite de données dans un prompt, livrable erroné transmis à un client) ne répare pas le préjudice. Mieux vaut poser le cadre tant que les usages se mettent en place.

Les clauses essentielles de la charte

Une charte utile va au-delà des grands principes : elle est concrète et opérationnelle. Voici les rubriques à ne pas négliger, qui structurent le modèle proposé.

Objet et périmètre

Le champ d'application : quels usages, quels collaborateurs, quelle articulation avec le règlement intérieur et la charte informatique existante.

Outils autorisés

La liste des solutions validées par la DSI (comptes professionnels fournis par l'entreprise), seules habilitées pour un usage professionnel.

Outils interdits

Les comptes gratuits ou personnels, les outils non listés et les extensions non auditées, dont l'usage professionnel est proscrit sans validation préalable.

Données interdites d'injection

Les catégories de données qu'il est strictement interdit de transmettre à un outil d'IA : données personnelles identifiantes, secrets d'affaires, code source propriétaire, informations financières non publiées.

Relecture humaine systématique

Le principe selon lequel toute production de l'IA est une assistance, jamais un résultat livrable en l'état : une relecture critique est obligatoire avant tout usage.

Traçabilité

L'invitation à signaler, lorsque la nature du livrable le justifie, le recours à l'IA, et à conserver les éléments utiles pour un audit ultérieur.

Protection des données personnelles

Le rappel des obligations RGPD : base légale, minimisation, durée de conservation, droits des personnes, et le réflexe de contacter le DPO en cas de doute.

AI Act et usages à risque

L'interdiction des pratiques prohibées par le règlement (UE) 2024/1689 et la validation préalable de tout usage potentiellement à risque élevé.

Sanctions

Le rappel que tout manquement peut engager la responsabilité disciplinaire du collaborateur, dans les conditions prévues par le règlement intérieur.

Données interdites et RGPD : le cœur du dispositif

Le risque le plus immédiat tient à ce que vos collaborateurs transmettent aux outils d'IA. Chaque prompt contenant des données personnelles constitue un traitement au sens du RGPD, avec toutes les obligations qui en découlent.

Au sens de l'article 4 du RGPD, un traitement vise toute opération portant sur des données personnelles. Saisir le nom d'un client, les coordonnées d'un salarié ou un dossier individuel dans un outil d'IA en constitue un. Vous devez alors pouvoir justifier d'une finalité déterminée, d'une base légale, d'une durée de conservation et de l'encadrement de votre relation avec l'éditeur de l'outil, qui agit en pratique comme sous-traitant (article 28 du RGPD).

Les catégories à proscrire

  • Les données personnelles identifiantes : clients, salariés, candidats, fournisseurs.
  • Les catégories particulières de données (santé, opinions, données judiciaires…), protégées par l'article 9 du RGPD.
  • Les données stratégiques, financières ou commerciales non publiées.
  • Le code source propriétaire et les secrets techniques.
  • Les secrets d'affaires et les informations couvertes par un accord de confidentialité.

Une fuite difficile à rattraper

Une donnée transmise à un outil grand public peut être conservée, réutilisée pour l'entraînement ou exposée. Privilégiez des comptes professionnels offrant des garanties contractuelles (non-réutilisation des données, hébergement, durée de conservation) et bannissez les comptes gratuits pour les contenus sensibles.

Ce que change l'AI Act (règlement UE 2024/1689)

Le règlement (UE) 2024/1689, dit « AI Act », est le premier cadre européen dédié à l'intelligence artificielle. Il classe les systèmes selon leur niveau de risque et entre en application de façon progressive. Votre charte gagne à intégrer cette logique de classification, même si toutes vos obligations ne sont pas encore exigibles.

Une application échelonnée

  • Les interdictions visant les pratiques d'IA inacceptables s'appliquent depuis le début de l'année 2025.
  • Les obligations propres aux modèles d'IA à usage général s'échelonnent à compter du courant de l'année 2025.
  • L'essentiel des règles relatives aux systèmes à haut risque deviendra applicable au cours des années suivantes, selon le calendrier fixé par le règlement.

Certaines pratiques sont purement et simplement interdites : la notation sociale généralisée, la manipulation cognitive exploitant des vulnérabilités, ou certains usages de l'identification biométrique. La charte rappelle ces interdictions et impose une validation préalable de la direction pour tout usage susceptible d'être qualifié de « haut risque » (recrutement, évaluation des salariés, accès à des services…).

Une démarche évolutive

L'AI Act se déploiera dans le temps. Votre charte doit pouvoir être mise à jour pour suivre l'entrée en vigueur des différentes obligations et l'évolution de vos usages : prévoyez une clause de révision et une date d'entrée en vigueur explicite.

Comment rédiger votre charte, étape par étape

Notre assistant vous guide pour produire une charte complète et conforme. Voici les informations à préparer et les étapes à suivre :

  1. 1Renseignez l'identité de votre société : dénomination, forme juridique et coordonnées.
  2. 2Dressez la liste des outils autorisés : privilégiez des comptes professionnels fournis par l'entreprise, avec des garanties contractuelles.
  3. 3Listez les outils interdits : comptes gratuits ou personnels, outils non validés, extensions non auditées.
  4. 4Précisez les catégories de données qu'il est interdit d'injecter (au moins les données personnelles, les secrets d'affaires, le code source et les données financières).
  5. 5Fixez la date d'entrée en vigueur, en laissant le temps d'accomplir vos formalités préalables si vous annexez la charte au règlement intérieur.
  6. 6Faites valider la charte par la direction, et organisez la consultation du CSE si vous souhaitez la rendre opposable et sanctionnable.
  7. 7Diffusez la charte à l'ensemble des collaborateurs et conservez la preuve de cette information.

Un document à votre nom

Vous obtenez un PDF (et un format Word éditable) sans filigrane ni mention de la plateforme, conservé dans votre coffre-fort, prêt à être annexé à votre règlement intérieur.

Charte, règlement intérieur et consultation du CSE

C'est le point le plus technique — et le plus souvent négligé. Une charte ne devient opposable et sanctionnable que si elle respecte les règles applicables au règlement intérieur.

Si vous souhaitez que la charte fonde une sanction disciplinaire, elle doit en pratique être adossée au règlement intérieur. Or l'adoption ou la modification du règlement intérieur suppose une consultation préalable du comité social et économique (CSE), conformément à l'article L. 1321-4 du Code du travail. Le texte doit ensuite être déposé au greffe du conseil de prud'hommes et communiqué à l'inspection du travail, et il n'entre en vigueur qu'au terme d'un délai à compter de ces formalités.

Si vous n'accomplissez pas ces étapes, la charte conserve une valeur informative et pédagogique précieuse, mais elle ne pourra pas servir de fondement à une sanction. C'est un choix à assumer en connaissance de cause, selon l'usage que vous voulez faire du document.

Prévoyez une date d'entrée en vigueur réaliste

Une charte censée s'appliquer le jour même de sa rédaction, sans consultation du CSE ni dépôts, n'est pas opposable. Laissez un délai suffisant — par exemple un mois — pour mener à bien la consultation et les formalités.

Les erreurs à éviter

Croire qu'une charte non déposée peut sanctionner

Sans consultation du CSE ni adossement au règlement intérieur, la charte reste informative : elle ne peut pas fonder une sanction disciplinaire. Choisissez votre objectif avant de la diffuser.

Lister des outils sans encadrer les données

Autoriser des outils sans interdire clairement l'injection de données sensibles laisse le risque principal — la fuite de données — entièrement ouvert.

Oublier la relecture humaine

Sans obligation de relecture, une production erronée ou biaisée peut être livrée telle quelle à un client, engageant la responsabilité de l'entreprise.

Tolérer les comptes personnels

Les comptes gratuits ou personnels n'offrent pas les garanties contractuelles nécessaires. Leur usage professionnel doit être explicitement proscrit pour les contenus sensibles.

Figer la charte dans le temps

Les outils et le cadre légal évoluent vite. Une charte sans clause de révision ni date d'entrée en vigueur claire devient rapidement obsolète.

Charte IA, charte informatique et règlement intérieur

La charte IA ne remplace pas vos documents existants : elle s'y articule. Voici comment la situer par rapport aux textes voisins.

CritèreCharte IACharte informatiqueRèglement intérieur
ObjetUsage de l'IA générativeUsage des outils et systèmes informatiquesDiscipline, hygiène et sécurité au travail
Portée principaleOutils d'IA, données injectées, relectureRéseau, messagerie, matériel, sécurité informatiqueRègles générales de fonctionnement de l'entreprise
Caractère obligatoireRecommandée, non imposée en tant que telleRecommandéeObligatoire dès 50 salariés
Pour sanctionnerDoit être annexée au règlement intérieurDoit être annexée au règlement intérieurOpposable après formalités (CSE, dépôts)
RéférenceAI Act, RGPD, art. L. 1321-1 C. trav.RGPD, droit du travailArt. L. 1321-1 et s. C. trav.
Tableau comparatif — Charte IA · Charte informatique · Règlement intérieur

Mise en œuvre, suivi et effets de la charte

Une charte ne vaut que par son application. Sa mise en œuvre suppose un minimum d'accompagnement : information des équipes, formation aux bons réflexes, et un point de contact (DSI, DPO) pour les questions et les demandes d'autorisation de nouveaux outils.

Les effets concrets

Adossée au règlement intérieur, la charte devient opposable : un manquement peut être sanctionné dans le respect de la procédure disciplinaire. Elle constitue aussi un élément de preuve de votre démarche de conformité au RGPD et à l'AI Act, utile en cas de contrôle ou de demande d'une autorité. Enfin, elle protège vos collaborateurs en leur donnant des repères clairs et en les déchargeant de l'incertitude sur ce qui est permis.

Pensez à la conserver et à la dater

Conservez la version signée et datée de la charte, ainsi que la preuve de sa diffusion et, le cas échéant, de la consultation du CSE. Ces éléments seront déterminants si vous devez démontrer son opposabilité.

Questions fréquentes

Aucune obligation légale générale n'impose une charte IA en tant que telle. Mais dès que vos collaborateurs utilisent des outils d'IA générative, elle devient une nécessité pratique : elle protège vos données, sécurise vos livrables et démontre votre démarche de conformité au RGPD et à l'AI Act.

Ce guide est fourni à titre d'information et reflète l'état du droit français applicable. Pour une situation complexe ou à fort enjeu, nous vous recommandons de faire relire votre document par un professionnel du droit.

Explorez tout le thème : Données, propriété intellectuelle & confidentialité

Protégez vos secrets, vos créations et les données personnelles : confidentialité, cession de droits et RGPD.

Votre document, prêt en quelques minutes

Répondez à quelques questions, téléchargez un PDF (et un Word) à votre nom et conservez-le dans votre coffre-fort.