Charte Utilisation IA (AI Act) — Modèle Gratuit France | forms-legal.com

La Charte Utilisation IA (AI Act) est, en droit français, une charte d'utilisation des outils d'IA.

La Charte d'Utilisation des Outils d'Intelligence Artificielle en France répond à une urgence réglementaire et éthique : l'adoption massive d'outils d'IA générative (ChatGPT/GPT-4o d'OpenAI, Claude d'Anthropic, Gemini de Google, Copilot de Microsoft) dans les entreprises françaises depuis 2022 a précédé de deux ans l'entrée en vigueur du cadre réglementaire AI Act. Des millions de collaborateurs utilisent ces outils sans règles claires sur la protection des données confidentielles et personnelles, la fiabilité des informations générées, les biais algorithmiques, la transparence envers les clients et partenaires, ou les risques de violation des droits de propriété intellectuelle.

L'AI Act UE 2024/1689 classe les systèmes d'IA en quatre niveaux de risque, selon un principe de proportionnalité : (1) risque inacceptable (pratiques interdites depuis le 2 février 2025 en vertu de l'art. 5) : manipulation comportementale des personnes, scoring social généralisé, reconnaissance faciale en temps réel dans les espaces publics sauf exceptions strictes, inférence d'émotions au travail ou à l'école, exploitation des vulnérabilités individuelles ; (2) risque élevé (obligations renforcées, art. 6 et Annexe III) : systèmes d'IA dans le recrutement, l'éducation, le crédit, l'assurance, les services publics essentiels, la sécurité ; (3) risque limité (obligations de transparence, art. 50) : chatbots, deepfakes, outils génératifs — doivent se signaler comme IA ; (4) risque minimal : jeux vidéo, filtres anti-spam — pas d'obligations spécifiques.

La Commission Nationale Informatique et Libertés (CNIL) a publié en 2023 et 2024 plusieurs recommandations sur l'usage des systèmes d'IA dans les organisations françaises : un guide sur l'IA générative (avril 2023), une position sur les IA générative et le RGPD (mai 2023), et un cadre préliminaire sur l'IA (janvier 2024). La CNIL souligne que tout outil d'IA qui traite des données personnelles doit respecter le RGPD, y compris les obligations de base légale (art. 6), de minimisation des données (art. 5 §1 c), d'AIPD si nécessaire (art. 35), et de contrat DPA avec le fournisseur (art. 28).

La Charte d'Utilisation des Outils d'Intelligence Artificielle en France est recommandée ou obligatoire dans plusieurs situations professionnelles.

Dès lors que des collaborateurs utilisent des outils d'IA générative (ChatGPT, Claude, Copilot, Gemini, Midjourney, Dall-E, etc.) dans le cadre de leurs fonctions professionnelles — qu'il s'agisse de la rédaction de documents, de la synthèse de réunions, de l'analyse de données, de la programmation assistée, ou de la création d'images — une charte encadrant ces usages est indispensable pour protéger l'entreprise et ses données.

Lors du déploiement d'un système d'IA à haut risque au sens de l'AI Act Annexe III (recrutement algorithmique, scoring de crédit, accès aux services essentiels, sécurité des personnes), une charte spécifique accompagnant la documentation obligatoire AI Act (évaluation de conformité, registre des systèmes d'IA, notice d'information pour les utilisateurs) est indispensable.

Dans les secteurs réglementés (santé, finance, défense, administration publique), l'utilisation d'outils d'IA traitant des données sensibles ou confidentielles nécessite une charte approuvée par les autorités de contrôle sectorielles (ANSM pour la santé, ACPR/AMF pour la finance) et la Commission Nationale Informatique et Libertés (CNIL).

En réponse aux exigences clients et partenaires de la chaîne d'approvisionnement : de nombreux grands donneurs d'ordre (groupes du CAC 40, entreprises cotées soumises à la CSRD) exigent désormais de leurs fournisseurs et prestataires une politique IA documentée, notamment pour les prestataires de services numériques, de conseil ou de communication ayant accès à leurs données.

Lors des procédures de référencement fournisseur (appels d'offres publics ou privés), la production d'une charte IA est de plus en plus fréquemment demandée dans les questionnaires de qualification RSE (Responsabilité Sociétale des Entreprises) et les due diligences des acheteurs.

Dans le cadre de la préparation du rapport de durabilité CSRD (Directive UE 2022/2464, Ordonnance française n°2023-1142), les indicateurs ESRS G1 sur la gouvernance requièrent de documenter les politiques technologiques et éthiques de l'entreprise, dont les politiques d'utilisation de l'IA.

La Charte d'Utilisation des Outils d'Intelligence Artificielle en France doit contenir les éléments structurels suivants pour être conforme à l'AI Act UE 2024/1689 et au RGPD, et crédible auprès des parties prenantes.

**1. Identification de l'entreprise et du référent IA.** La charte doit identifier l'entreprise par sa dénomination sociale et son SIREN, préciser son rôle vis-à-vis des systèmes d'IA (déployeur, fournisseur, ou les deux au sens de l'AI Act art. 3 §3 et 4), et nommer le référent IA responsable de la mise en œuvre de la charte et du suivi des évolutions réglementaires.

**2. Liste blanche des outils d'IA autorisés.** La charte doit lister les outils d'IA dont l'utilisation est autorisée, avec leurs usages spécifiques approuvés. Le principe de liste blanche (tout outil non listé est interdit par défaut) est recommandé pour maintenir le contrôle sur les risques. La liste doit être validée par le référent IA, le DSI/RSSI et le DPO pour chaque outil.

**3. Pratiques d'IA interdites (AI Act art. 5).** La charte doit rappeler les pratiques d'IA interdites par l'AI Act depuis le 2 février 2025 : manipulation comportementale des personnes exploitant leurs vulnérabilités (âge, handicap) à des fins préjudiciables ; scoring social généralisé par les autorités publiques ou privées fondé sur le comportement social ; identification biométrique à distance en temps réel dans les espaces accessibles au public sauf exceptions ; systèmes d'inférence des émotions au travail ou dans les établissements d'enseignement ; profilage individuel basé sur des caractéristiques protégées. Ces pratiques sont punies d'amendes pouvant atteindre 35 000 000 EUR ou 7% du CA mondial (art. 99 AI Act).

**4. Règles de protection des données confidentielles et personnelles.** La charte doit définir clairement les catégories de données qu'il est interdit de saisir dans des outils d'IA externes non sécurisés : données personnelles identifiantes de clients ou collaborateurs, données de santé (RGPD art. 9), secrets commerciaux (Loi n°2018-670 sur le secret des affaires), données financières non publiques, informations couvertes par le secret professionnel. La charte doit préciser les règles de contractualisation avec les fournisseurs d'IA (DPA RGPD art. 28, clauses SCC pour les transferts hors UE).

**5. Obligation de révision humaine et de transparence.** La charte doit préciser si la révision humaine des contenus générés par IA est obligatoire avant diffusion ou utilisation, et dans quels cas une mention 'généré par IA' est requise. L'AI Act art. 50 impose aux systèmes d'IA interagissant avec des personnes de se signaler comme tels, et aux fournisseurs de contenu synthétique de marquer ce contenu comme étant généré par IA.

**6. Formation et sanctions.** La charte doit préciser les obligations de formation des collaborateurs, les procédures de signalement des incidents IA, et les sanctions disciplinaires applicables en cas de manquement. forms-legal.com propose un modèle de Charte d'Utilisation des Outils d'Intelligence Artificielle pré-structuré conforme à l'AI Act et au RGPD, téléchargeable gratuitement.

La Charte d'Utilisation des Outils d'Intelligence Artificielle en France se remplit en impliquant les fonctions clés de l'organisation (Direction Générale, DSI, DPO, référent IA, DRH) et en tenant compte du profil d'utilisation de l'IA dans l'entreprise.

**Étape 1 — Identifier les outils d'IA utilisés.** Réaliser un inventaire complet des outils d'IA utilisés dans l'organisation : outils d'IA générative (ChatGPT, Claude, Copilot, Gemini), outils de création visuelle (Midjourney, Dall-E, Stable Diffusion), outils d'analyse de données (IBM Watson, Google AutoML), outils de traitement du langage naturel (transcription, traduction automatique), systèmes d'IA intégrés dans des logiciels métier (IA dans le CRM, l'ERP, le logiciel RH). Cet inventaire alimente directement la liste blanche des outils autorisés.

**Étape 2 — Définir le rôle de l'entreprise vis-à-vis des systèmes d'IA.** L'AI Act distingue les fournisseurs (qui développent et mettent sur le marché des systèmes d'IA) et les déployeurs (qui utilisent des systèmes d'IA dans un contexte professionnel). La plupart des entreprises qui utilisent des outils d'IA tiers (ChatGPT, Copilot) sans les modifier sont des déployeurs. Les entreprises qui développent leur propre IA ou qui personnalisent significativement un modèle existant (fine-tuning, RAG avec des données propriétaires) peuvent être considérées comme fournisseurs pour les éléments qu'elles ont développés.

**Étape 3 — Construire la liste blanche des outils autorisés.** Pour chaque outil d'IA utilisé, évaluer avec le DSI/RSSI et le DPO : la localisation des serveurs (UE/EEE ou hors UE) ; la politique de confidentialité et les conditions d'utilisation (les données saisies servent-elles à l'entraînement des modèles ?) ; les certifications de sécurité (ISO 27001, SOC 2 Type II) ; la disponibilité d'un DPA RGPD art. 28 ; la certification DPF pour les outils américains (dataprivacyframework.gov).

**Étape 4 — Définir les données interdites de saisie.** En collaboration avec le DPO et le responsable juridique, établir la liste précise des types de données qu'il est interdit de saisir dans des outils d'IA non sécurisés : données personnelles nominatives, données de santé, numéros de sécurité sociale, données bancaires, secrets commerciaux, données soumises à la confidentialité contractuelle (NDA). Cette liste doit être communiquée clairement aux collaborateurs dans les formations.

**Étape 5 — Catégoriser les risques AI Act.** Identifier si l'organisation utilise des systèmes d'IA relevant des catégories à risque élevé (Annexe III AI Act) : algorithmes de sélection des CV et candidats (art. 6 + Annexe III pt 4) ; systèmes de scoring de solvabilité (Annexe III pt 5b) ; systèmes d'accès à des services essentiels (Annexe III pt 5c) ; systèmes de surveillance des travailleurs (Annexe III pt 4). Ces traitements nécessitent une AIPD RGPD et une évaluation de conformité AI Act.

**Étape 6 — Formation et diffusion.** La charte doit être accompagnée d'une formation pratique sur les règles d'utilisation responsable de l'IA, couvrant les cas d'usage autorisés et interdits, les bonnes pratiques de prompt engineering (ne pas inclure de données confidentielles dans les prompts), la vérification des sorties de l'IA (hallucinations, biais, inexactitudes), et les procédures de signalement des incidents.

La Charte d'Utilisation des Outils d'Intelligence Artificielle en France s'inscrit dans un cadre réglementaire en rapide évolution dominé par l'AI Act européen et le RGPD.

**AI Act UE 2024/1689 — Calendrier d'application.** Le Règlement UE 2024/1689 est entré en vigueur le 1er août 2024 et s'applique progressivement : les interdictions de l'art. 5 (pratiques inacceptables) sont applicables depuis le 2 février 2025 ; les obligations relatives aux systèmes d'IA à usage général (art. 51-56) et aux modèles de fondation à impact systémique (GPT-4, Claude 3, Gemini Ultra) sont applicables depuis le 2 août 2025 ; les obligations complètes pour les systèmes d'IA à haut risque (Annexe III) s'appliqueront au plus tard le 2 août 2026.

**Sanctions AI Act.** Les sanctions pour violation de l'AI Act sont parmi les plus élevées du droit européen : 35 000 000 EUR ou 7% du CA mondial annuel pour les violations des interdictions de l'art. 5 ; 15 000 000 EUR ou 3% du CA pour les violations des obligations relatives aux systèmes à haut risque et aux systèmes à usage général ; 7 500 000 EUR ou 1,5% du CA pour la fourniture d'informations incorrectes aux autorités de surveillance. Pour les PME et micro-entreprises, les amendes sont plafonnées selon les conditions économiques de l'entreprise.

**RGPD et outils d'IA générative.** La CNIL a précisé dans ses recommandations de 2023-2024 que tout outil d'IA générative qui traite des données personnelles (ex. : un chatbot d'IA qui mémorise les échanges avec des clients identifiés) est soumis au RGPD. Les organisations doivent : identifier la base légale du traitement (consentement, intérêt légitime ou exécution du contrat selon le cas) ; conclure un DPA RGPD art. 28 avec le fournisseur de l'outil d'IA ; documenter le traitement dans le Registre des Traitements (art. 30) ; réaliser une AIPD si le traitement présente un risque élevé (art. 35).

**Code pénal et deepfakes.** L'utilisation de systèmes d'IA pour créer des deepfakes (images, vidéos, voix synthétiques) à des fins trompeuses est sanctionnée par le Code pénal art. 226-8 (montage numérique sans consentement : 1 an d'emprisonnement et 15 000 EUR d'amende). L'AI Act art. 50 §4 impose par ailleurs que les deepfakes et contenus synthétiques soient marqués comme tels de manière détectable par machine.

**Droit d'auteur et IA générative.** La question de la propriété intellectuelle des contenus générés par IA est en cours de clarification en droit français. La Cour de cassation et le Conseil d'État n'ont pas encore rendu de décisions de principe sur ce sujet. La CNIL et le Ministère de la Culture ont émis des positions préliminaires. Les entreprises sont encouragées à consulter leurs conseils juridiques sur les risques de droits d'auteur liés à l'utilisation d'outils d'IA générative.

La Charte d'Utilisation des Outils d'Intelligence Artificielle en France est souvent insuffisante ou mal adaptée aux risques réels. Voici les erreurs les plus fréquentes.

**Erreur n°1 — Charte trop générique sans liste d'outils approuvés.** Une charte qui se contente de principes généraux ('utiliser l'IA de manière responsable') sans lister les outils approuvés et interdits ne guide pas efficacement les collaborateurs. La liste blanche des outils approuvés est l'élément le plus actionnable d'une charte IA.

**Erreur n°2 — Ignorer les risques de fuite de données confidentielles.** La principale erreur des collaborateurs est de saisir des informations confidentielles (données clients, informations financières non publiques, secrets commerciaux, données personnelles) dans des outils d'IA dont les conditions d'utilisation permettent l'utilisation des données pour l'entraînement des modèles. La charte doit définir précisément les catégories de données interdites de saisie et prévoir des formations pratiques sur ce risque.

**Erreur n°3 — Ne pas évaluer les biais algorithmiques dans les décisions RH.** Les entreprises qui utilisent des outils d'IA pour l'analyse de CV, la sélection de candidats ou l'évaluation des performances sont soumises aux obligations AI Act Annexe III et doivent documenter les mesures prises pour détecter et corriger les biais discriminatoires (genre, âge, origine). L'absence de telles mesures expose l'entreprise à des sanctions pour discrimination (Code du travail art. L1132-1) et violation de l'AI Act.

**Erreur n°4 — Pas de procédure de signalement des 'hallucinations'.** Les outils d'IA générative produisent régulièrement des informations incorrectes, des citations inventées, des faits erronés (hallucinations). Si ces erreurs ne sont pas détectées avant diffusion (email client, rapport financier, document juridique), elles peuvent engager la responsabilité contractuelle et pénale de l'entreprise. La charte doit imposer une révision humaine systématique avant toute utilisation professionnelle des sorties de l'IA.

**Erreur n°5 — Ignorer l'entrée en vigueur de l'AI Act.** De nombreuses entreprises françaises n'ont pas encore adapté leurs politiques internes aux exigences de l'AI Act, notamment les interdictions de l'art. 5 applicables depuis le 2 février 2025. L'utilisation de systèmes d'IA interdits par l'art. 5 (ex. : systèmes d'inférence des émotions des collaborateurs au travail à des fins d'évaluation) expose l'entreprise aux sanctions les plus élevées du règlement (35 M EUR ou 7% du CA mondial).

**Erreur n°6 — Absence de contractualisation avec les fournisseurs d'outils IA.** Utiliser des outils d'IA traitant des données personnelles sans avoir conclu de DPA (Data Processing Agreement) conforme au RGPD art. 28 avec le fournisseur constitue une violation du RGPD. Pour les outils dont les serveurs sont situés hors UE/EEE, des clauses contractuelles types (SCC 2021) et une évaluation de l'impact du transfert (TIA) sont également requises.