Mettre à jour sa politique IA interne : par où commencer ?

Quand les règles internes n'ont pas suivi la vitesse de l'IA

Un collaborateur ouvre ChatGPT, colle un extrait de contrat client, reformule, envoie. Toute l'opération prend quarante secondes. Le problème ? L'entreprise n'a aucune règle formelle sur ce type d'usage. Aucune consigne sur les données qu'on peut ou non confier à un outil tiers. Aucun responsable clairement désigné. Et très souvent, aucune conscience du risque qui vient de se matérialiser.

Ce scénario n'est pas hypothétique. Il se rejoue chaque jour dans des milliers d'organisations françaises, quelle que soit leur taille. L'intelligence artificielle générative s'est installée dans les pratiques professionnelles à une vitesse que les politiques internes n'ont tout simplement pas anticipée. Résultat : les usages ont précédé les règles. Les outils ont devancé la gouvernance.

Mais l'absence de politique IA n'est plus une option tolérable. L'entrée en vigueur progressive de l'AI Act européen, le renforcement des exigences du Règlement général sur la protection des données (RGPD) appliqué aux systèmes d'IA, et la multiplication des incidents liés à des usages non encadrés rendent la formalisation urgente. La question n'est plus "faut-il" structurer une politique IA interne. Elle est : par où commencer, concrètement, sans se perdre dans une usine à gaz réglementaire ?

Cet article vous propose une méthode claire, articulée autour de trois étapes fondamentales : l'audit des usages existants, la structuration d'un cadre de gouvernance adapté, et la mise en conformité réglementaire progressive. Une progression logique, du concret vers le formel.

---

Étape 1 : Photographier l'existant avant de réécrire les règles

On ne rénove pas une maison sans en faire l'état des lieux. Le principe vaut exactement de la même façon pour une politique IA. Avant de rédiger la moindre charte, de désigner le moindre responsable ou d'interdire le moindre outil, il faut savoir ce qui se passe réellement dans votre organisation.

Cartographier les usages réels, pas les usages supposés

La première erreur classique consiste à rédiger une politique IA en chambre, à partir de ce qu'on imagine que les équipes font. Or les usages réels divergent souvent, parfois radicalement, des pratiques supposées. Les commerciaux utilisent peut-être un assistant IA pour rédiger leurs relances clients. Les RH génèrent des fiches de poste via un outil non référencé. Le service marketing expérimente des outils de génération d'images. Et personne, en haut de la hiérarchie, n'en a une vision consolidée.

Comme le détaille le guide de gouvernance IA pour les entreprises publié par IPEC Paris, la cartographie des usages doit précéder toute décision de gouvernance. Il s'agit d'identifier : quels outils sont utilisés (officiellement ou non), par quelles équipes, pour quelles tâches, avec quelles données en entrée.

Cette cartographie peut prendre la forme d'un questionnaire anonyme distribué aux équipes, complété par des entretiens ciblés avec les managers de proximité. L'objectif n'est pas de sanctionner, mais de comprendre. Et ce que vous allez découvrir pourrait vous surprendre.

Identifier les zones de risque prioritaires

Une fois la carte des usages posée sur la table, l'étape suivante consiste à hiérarchiser les risques. Tous les usages ne se valent pas du point de vue de l'exposition. Alimenter un outil IA avec des données clients nominatives n'est pas comparable à lui demander de reformuler un communiqué de presse interne.

Selon les recommandations de la Commission nationale de l'informatique et des libertés (CNIL) pour un usage responsable de l'IA, les organisations doivent en priorité identifier les traitements de données personnelles impliquant des systèmes d'IA, et évaluer leur niveau de risque avant toute autre décision. La CNIL distingue notamment les usages à faible impact (génération de texte générique sans données sensibles) des usages à fort impact (prise de décision automatisée sur des individus, traitement de données de santé, filtrage de CV).

C'est cette hiérarchisation qui va orienter vos priorités de mise à jour. Il ne s'agit pas de tout réguler en même temps, mais de commencer par ce qui expose le plus.

Ne pas oublier les outils "fantômes"

Le shadow IT de l'IA est une réalité que peu d'entreprises mesurent. Des collaborateurs utilisent des outils non approuvés par la DSI, souvent gratuits, souvent très efficaces, et souvent totalement opaques en termes de traitement des données. Comme le souligne le billet de référence d'Onyri sur la construction d'une politique IA interne, la politique interne doit explicitement couvrir ces usages informels, et prévoir une liste d'outils autorisés, avec les conditions d'usage associées.

---

Étape 2 : Structurer un cadre de gouvernance qui tient la route

L'audit est fait. Vous avez une image claire de ce qui se passe dans votre organisation. Vient maintenant la partie la plus délicate : transformer cette connaissance en règles opérationnelles. La tentation est de produire un document de vingt pages que personne ne lira jamais. L'enjeu, au contraire, est de construire un cadre à la fois complet et applicable.

Définir des responsabilités claires

Une politique IA sans responsable désigné est une politique IA morte à la naissance. La gouvernance de l'IA implique au minimum trois niveaux de responsabilité, selon l'analyse d'IPEC Paris sur l'intégration de l'IA en entreprise : un niveau stratégique (qui décide des cas d'usage autorisés), un niveau opérationnel (qui supervise les usages au quotidien), et un niveau technique (qui évalue les outils et assure leur sécurité).

Dans les grandes organisations, ce triptyque peut se traduire par un comité IA, un référent IA par département, et un rôle de supervision confié à la DSI ou au délégué à la protection des données (DPO). Dans une PME, une seule personne peut cumuler ces fonctions, l'essentiel étant que la responsabilité soit explicitement nommée et connue de tous.

Rédiger des règles d'usage concrètes et compréhensibles

Le document central d'une politique IA, c'est la charte d'usage. Pas un texte juridique hermétique, mais un guide pratique que n'importe quel collaborateur peut comprendre et appliquer. Selon la démarche décrite par Les Échos, une bonne charte d'usage doit répondre à quatre questions simples : qu'est-ce qui est autorisé ? Qu'est-ce qui est interdit ? Quelles données peut-on utiliser avec des outils IA ? Que faire en cas de doute ?

Sur le plan des contenus, quelques catégories s'imposent systématiquement. D'abord, les données interdites : données personnelles de clients ou d'employés, informations financières confidentielles, secrets industriels, données soumises à accord de confidentialité. Ensuite, les obligations de validation : tout contenu généré par IA destiné à une publication externe, une décision contractuelle ou une communication client doit passer par une relecture humaine. Enfin, les procédures de signalement : tout incident lié à un usage IA (fuite de données, résultat manifestement erroné utilisé dans une décision critique) doit pouvoir être remonté rapidement.

Prévoir des mécanismes de mise à jour réguliers

Une politique IA figée est une politique IA obsolète. Le secteur évolue à un rythme que peu d'autres industries connaissent. Un outil qui était jugé sûr il y a six mois peut avoir modifié ses conditions d'utilisation. Un nouveau modèle peut changer radicalement ce que vos équipes sont capables de faire, et donc ce qu'il faut encadrer.

La bonne pratique consiste à prévoir dès la rédaction initiale un cycle de révision semestriel ou annuel, avec des critères de déclenchement d'une révision exceptionnelle (modification réglementaire majeure, incident significatif, déploiement d'un nouvel outil stratégique). Ce n'est pas de la bureaucratie : c'est de la gestion du risque.

---

Étape 3 : Aligner la politique interne sur le cadre réglementaire

Avoir une politique interne cohérente, c'est bien. Qu'elle soit alignée sur les obligations légales en vigueur, c'est indispensable. Et sur ce point, le paysage réglementaire est en train de se transformer profondément.

L'AI Act : comprendre ce qui s'applique à votre organisation

L'AI Act européen, entré en vigueur en août 2024 avec une application progressive jusqu'en 2027, est le premier cadre réglementaire mondial dédié à l'intelligence artificielle. Il classe les systèmes d'IA selon leur niveau de risque : inacceptable (interdit), élevé (très encadré), limité (obligations de transparence) et minimal (libre d'usage sous réserve des règles générales).

La question que doit se poser toute organisation n'est pas "sommes-nous concernés par l'AI Act ?" — la réponse est presque toujours oui. La question est : quels systèmes d'IA que nous utilisons ou développons tombent dans quelle catégorie de risque, et quelles obligations cela génère-t-il ? Les systèmes d'IA utilisés dans les processus de recrutement, d'évaluation des performances ou de scoring crédit, par exemple, sont classifiés à haut risque et soumis à des exigences strictes de documentation, de supervision humaine et de transparence.

Comme le rappelle la CNIL dans ses recommandations sur les usages responsables de l'IA, la mise en conformité avec l'AI Act ne se substitue pas aux obligations RGPD déjà existantes : elle s'y superpose. Les deux cadres doivent être pris en compte simultanément.

RGPD et IA : une combinaison à ne pas négliger

Le RGPD impose des obligations précises dès lors qu'un traitement de données personnelles est impliqué. Or, l'IA générative, par nature, se nourrit de données. Quand un collaborateur alimente un outil IA avec des données clients pour générer un résumé de réunion ou une proposition commerciale, il effectue un traitement au sens du RGPD.

Cela signifie que votre politique IA doit être cohérente avec votre registre des traitements, que les sous-traitants IA doivent être encadrés par des accords de traitement des données (DPA), et que les personnes concernées doivent, dans certains cas, être informées de l'utilisation d'un système automatisé dans le traitement de leurs données.

Sur ce point, la démarche proposée par Onyri pour la construction d'une politique IA générative en entreprise insiste sur la nécessité de lister explicitement, dans la politique interne, quels outils tiers ont signé des garanties contractuelles suffisantes au regard du RGPD.

Former les équipes : la conformité ne se décrète pas

Une politique IA, aussi bien rédigée soit-elle, ne vaut rien si les équipes ne la comprennent pas ou ne savent pas comment l'appliquer. La formation est le maillon le plus souvent négligé de la mise en conformité. Pourtant, c'est lui qui transforme un document en comportement.

La formation ne doit pas se limiter à un e-learning de vingt minutes envoyé par mail. Elle doit être concrète, ancrée dans les usages réels des métiers concernés, et régulièrement actualisée. Un commercial ne doit pas recevoir la même formation qu'un développeur ou qu'un responsable RH. Les risques, les outils, les données manipulées diffèrent. La sensibilisation doit refléter cette réalité.

Selon les recommandations publiées par la CNIL, la formation des équipes est explicitement identifiée comme une composante de la gouvernance responsable de l'IA, au même titre que la documentation technique ou l'analyse d'impact.

---

Conclusion : une politique IA, c'est un chantier continu, pas un projet à finir

Mettre à jour sa politique IA interne, ce n'est pas cocher une case réglementaire. C'est poser les fondations d'une relation de confiance entre votre organisation et les technologies qui vont, qu'on le veuille ou non, transformer en profondeur ses modes de fonctionnement.

La méthode est claire : commencer par l'audit des usages réels, structurer un cadre de gouvernance opérationnel, et aligner le tout sur les exigences réglementaires en vigueur. Trois étapes séquentielles, mais pas hermétiques : elles se nourrissent mutuellement.

Ce qui est certain, c'est que l'immobilisme n'est plus une option. Les obligations réglementaires se précisent, les risques d'incidents augmentent avec la généralisation des usages, et les parties prenantes — clients, partenaires, investisseurs — commencent à regarder de près comment les organisations encadrent leur usage de l'IA. Avoir une politique interne claire, mise à jour et connue des équipes, c'est aussi un signal de maturité et de sérieux.

Si vous ne savez pas par où commencer, commencez petit. Un questionnaire interne sur les usages actuels. Une liste des outils identifiés. Une première réunion avec les équipes concernées. La complexité vient après. Ce qui compte d'abord, c'est de se mettre en mouvement.