À retenir
- La majorité des salariés qui utilisent l'IA ne le disent pas à leur hiérarchie — en 2024, seuls ~36 % des utilisateurs d'IA générative au travail en informaient leur manager (IFOP/Talan). Le « Shadow AI » précède toujours votre règlement, pas l'inverse.
- Une charte = 5 clauses opposables — outils autorisés, données interdites, validation humaine, transparence, référent IA.
- AI Act + RGPD ne pèsent pas que sur les éditeurs — la transparence et la « littératie IA » (former vos équipes) s'imposent à tout employeur dès 2025.
- Interdire ≠ encadrer — la formation est le levier #1 ; l'interdiction sèche pousse vos équipes vers les outils gratuits non contrôlés.
- Un coût chiffré — une violation de données coûte en moyenne 4,44 M$ (IBM 2025), et les IA sans gouvernance sont les plus exposées.
Une directrice juridique de PME industrielle découvre, un lundi matin, qu'un de ses ingénieurs a collé l'intégralité d'un brevet en cours de dépôt dans la version gratuite de ChatGPT pour « gagner du temps » sur une note de synthèse. Personne ne lui avait dit que c'était interdit — parce qu'aucune règle n'existait. Ce n'est pas un cas isolé : c'est exactement la situation dans laquelle se trouvent la majorité des entreprises françaises en 2026. L'IA est déjà entrée par la fenêtre pendant que la direction réfléchissait encore à lui ouvrir la porte.
Encadrer l'usage de l'IA en entreprise, ce n'est donc pas décider si vos équipes utilisent l'IA — elles le font déjà. C'est décider comment, avant qu'un incident ne le décide à votre place. Ce guide vous donne le trépied complet : la charte qui pose les règles, la gouvernance qui les fait vivre, et la formation qui les rend réelles — avec les chiffres, le calendrier de l'AI Act et un modèle de charte clause par clause.
Pourquoi encadrer l'usage de l'IA est devenu urgent : le Shadow AI
Le « Shadow AI » — l'usage d'outils d'IA par les salariés sans validation ni connaissance de leur hiérarchie — est le vrai déclencheur. Selon le Baromètre IFOP/Talan 2025 sur les Français et les IA génératives, en 2024, seuls ~36 % des utilisateurs d'IA générative au travail en informaient leur manager — autrement dit, une nette majorité s'en sert sans le signaler à sa hiérarchie. Ce n'est pas un dérapage marginal : c'est la norme silencieuse, des données potentiellement injectées chaque jour dans des outils que personne n'a validés.
Qu'est-ce que le Shadow AI ? C'est l'utilisation d'outils d'intelligence artificielle (ChatGPT, Copilot, Gemini…) par des collaborateurs en dehors de tout cadre validé par l'entreprise. Invisible pour la DSI, il échappe aux contrôles de sécurité et de conformité — d'où le terme « IA fantôme ».
Cette diffusion est sans précédent. D'après le Baromètre du numérique 2026 du Crédoc, 48 % des Français utilisent désormais une IA générative — une adoption plus rapide que celle du smartphone. Quand un usage se répand à cette vitesse, la règle arrive toujours après. Votre rôle n'est pas de freiner la vague, c'est de poser des digues avant qu'elle n'inonde le sous-sol.
Fuite de données confidentielles
Transfert non encadré de données personnelles
Responsabilité de l'employeur
Fragilisation du collectif
L'étude INRIA-Datacraft de juin 2025, relayée par le ministère de la Transition écologique, le formule clairement : ces usages informels renforcent le sentiment d'efficacité individuelle tout en exposant à des risques collectifs — sécurité des données, biais, fragilisation du collectif de travail. Le confort de l'un devient le risque de tous.
Le coût réel d'un usage non encadré
L'objection classique — « ça peut attendre, on a d'autres priorités » — tombe dès qu'on met un montant en face. Le Rapport IBM 2025 sur le coût d'une violation de données (Ponemon Institute) chiffre le coût moyen mondial d'une violation à 4,44 millions de dollars. Traduit en clair : une seule fuite mal gérée peut effacer plusieurs années de marge pour une PME.
Le rapport IBM est explicite : « les systèmes d'IA sans gouvernance sont plus susceptibles d'être piratés et les conséquences plus coûteuses lorsqu'ils le sont. » Il relie directement l'absence de politiques de gouvernance à la prolifération de l'IA fantôme. Autrement dit, le Shadow AI n'est pas qu'un risque de conformité — c'est une porte d'entrée pour les attaques.
L'inverse est vrai aussi : toujours selon IBM, l'usage maîtrisé de l'IA en cybersécurité a permis 1,9 million de dollars d'économies par rapport aux entreprises qui s'en privent. L'IA encadrée protège ; l'IA livrée à elle-même expose. La différence entre les deux tient en trois mots — charte, gouvernance, formation.
4,44 M$
1,9 M$ économisés
IA sans gouvernance
Le cadre légal : AI Act et RGPD expliqués simplement
Avant de rédiger quoi que ce soit, il faut savoir ce que la loi impose. Deux textes structurent l'encadrement de l'IA en entreprise : l'AI Act européen et le RGPD, dont la CNIL est la gardienne en France.
L'AI Act (règlement UE 2024/1689) est le premier règlement au monde sur l'intelligence artificielle, en vigueur depuis le 1er août 2024. Il classe les systèmes en quatre niveaux de risque — inacceptable, élevé, limité, minimal — et s'applique par paliers.
2 février 2025 — Interdictions
Bannissement des systèmes à risque inacceptable : notation sociale, manipulation, identification biométrique en temps réel.
2 août 2025 — Modèles à usage général
Règles pour les IA génératives à usage général, désignation des autorités compétentes, entrée en vigueur des sanctions.
2 août 2026 — Haut risque
Pleine applicabilité aux systèmes à haut risque (emploi, éducation, biométrie) et bacs à sable réglementaires.
2 août 2027 — Produits réglementés
Application aux IA à haut risque intégrées dans des produits réglementés : dispositifs médicaux, machines, jouets.
Beaucoup de dirigeants croient que l'AI Act ne concerne que les éditeurs de logiciels. Erreur. La Direction générale des Entreprises précise que le règlement « concerne toute organisation qui fournit, importe, distribue ou déploie des systèmes d'IA ». Les obligations lourdes (marquage CE, documentation, contrôle humain) pèsent surtout sur les fournisseurs à haut risque — mais deux obligations transversales touchent tout employeur dès 2025. La première, la transparence, est confirmée par la DGE. La seconde, la « littératie IA », découle de l'article 4 de l'AI Act, qui impose aux fournisseurs et déployeurs d'assurer un niveau suffisant de maîtrise de l'IA par leur personnel — une obligation applicable depuis le 2 février 2025 (sanctions à compter du 2 août 2026).
Transparence
Littératie IA
La « littératie IA », concrètement ? L'article 4 de l'AI Act impose aux fournisseurs comme aux déployeurs de garantir que les personnes qui utilisent l'IA en leur nom ont un niveau suffisant de compréhension : comment ça marche, ce que l'outil peut faire, ses limites et ses risques. En pratique, cela passe par un programme de formation interne — pas par une note de service.
Côté données personnelles, la CNIL a publié en 2025 de nouvelles recommandations IA & RGPD affirmant que « le RGPD permet une IA innovante et respectueuse des données personnelles ». Le message est rassurant : le RGPD n'interdit pas l'IA, il l'encadre. Pour se mettre en conformité, la CNIL renvoie aux outils classiques appliqués à l'IA : registre des traitements, choix d'une base légale, désignation d'un DPO, encadrement des sous-traitants, et analyse d'impact (AIPD) pour les usages sensibles.
Comment encadrer l'usage de l'IA en entreprise en 10 étapes
Bpifrance Le Lab propose la démarche de référence pour structurer son usage. La méthode en 10 étapes de Bpifrance combine AI Act, recommandations CNIL/RGPD et la norme ISO/IEC 42001. Voici la séquence, condensée en quatre temps actionnables.
Cartographier et gouverner
Désignez une instance de gouvernance transversale, puis cartographiez tous les cas d'usage IA déjà présents dans l'entreprise — y compris les usages informels.
Évaluer et cadrer
Évaluez les risques et impacts éthiques, définissez votre référentiel (la charte), et encadrez la gestion des données selon l'AI Act et le RGPD.
Documenter et valider
Documentez les algorithmes utilisés, mettez en place un processus de validation des nouveaux projets IA, et instaurez une veille réglementaire.
Former et suivre
Formez les collaborateurs — l'étape la plus décisive — et assurez un suivi continu pour ajuster le cadre à mesure que les outils évoluent.
La gouvernance n'est pas une affaire de DSI isolée. Comme le résume Serge Séri dans CIO Mag, « DSI, juristes, métiers, RH, tech… tout le monde doit être autour de la table ». Une charte écrite par la seule DSI sera technique et inapplicable ; une charte co-construite sera respectée.
Qui doit gérer la gouvernance de l'IA ? Un groupe de travail transversal réunissant DSI, juridique, RH, DPO et représentants des métiers — parfois formalisé en comité éthique chargé de valider ou refuser certains usages. Bpifrance précise que les PME sont concernées « au même titre que les grands groupes » dès qu'elles utilisent recommandations, automatisations ou scoring.
Modèle de charte d'usage de l'IA : les 5 clauses indispensables
C'est le grand absent des articles concurrents : tous citent « rédigez une charte » sans jamais dire ce qu'elle contient. Une charte IA définit les règles d'utilisation des outils d'IA — outils autorisés, données interdites, vérification humaine et responsabilités. Pour être efficace, elle doit être co-construite avec les équipes et adossée à un programme de formation. Voici les cinq clauses qui font l'ossature (Bloom AI).
1. Outils autorisés
2. Données à ne jamais saisir
3. Vérification humaine obligatoire
4. Transparence
5. Référent IA
La clause la plus opérationnelle — et la plus oubliée — est la liste explicite des données à ne jamais coller dans un outil d'IA externe. Voici les cinq familles à interdire par défaut.
Données personnelles
Données clients & contrats
Données financières
Code source & secrets
Propriété intellectuelle
Pour avoir une portée opposable, annexez la charte au règlement intérieur et alignez-la avec votre charte informatique et votre politique RGPD. Une charte rangée dans un Drive que personne ne lit ne protège personne ; une charte intégrée au règlement intérieur, oui.
Combien d'entreprises ont franchi le pas ? Selon le baromètre KPMG Trends of AI 2026 cité par Bloom AI, 86 % des organisations interrogées (un panel de décideurs majoritairement issus de grands groupes et d'ETI) ont validé une charte d'usage responsable de l'IA — mais la réalité des PME et des plus petites structures est « très différente », souvent sans aucun cadre formalisé. C'est précisément l'écart que ce guide cherche à combler.
Former plutôt qu'interdire : le vrai levier d'encadrement
Voici le point où la plupart des entreprises se trompent. Face au Shadow AI, le réflexe est de bloquer : on interdit ChatGPT, on filtre les URL, on rappelle à l'ordre. Le résultat est l'inverse de l'objectif. Comme le documente le Cabinet Haas, « certaines directions ont d'abord interdit l'IA par précaution avant de constater que les usages existaient déjà ». La stratégie a depuis évolué vers « autoriser tout en encadrant ».
Interdire, c'est pousser vos meilleurs éléments vers leur téléphone personnel et la version gratuite — celle, justement, qui réutilise leurs saisies. La formation, elle, attaque le problème à la source.
L'étude INRIA-Datacraft recommande explicitement de « former largement à un usage critique et responsable de l'IA, au-delà des seules compétences techniques ». Et Bpifrance révèle un angle mort majeur : si 66 % des PME et ETI forment leurs employés à l'IA, seules 34 % les forment à la collecte et à la gestion des données — le socle pourtant indispensable pour respecter une charte. Interdire de « saisir des données confidentielles » ne sert à rien si personne ne sait reconnaître une donnée confidentielle.
L'État ne s'y trompe pas. Le plan national « Osez l'IA », lancé le 1er juillet 2025, vise à former 15 millions de professionnels d'ici 2030 via une « Académie de l'IA », avec l'objectif de diffuser l'IA dans 80 % des PME et ETI (contre 13 % aujourd'hui). La montée en compétence n'est plus un confort — c'est la politique publique.
C'est exactement le terrain de la formation Work with AI d'Intelligence Academy : apprendre à vos équipes non seulement à utiliser ChatGPT, Claude ou Copilot, mais à les utiliser en sachant ce qu'on peut et ne peut pas y mettre — la compétence qui fait d'une charte un réflexe plutôt qu'un document.
Encadrer l'IA selon la taille de votre entreprise
Une charte de grand groupe — comité éthique, DPO dédié, AIPD systématique — est inapplicable dans une TPE de huit personnes. L'encadrement se module selon vos moyens et vos enjeux.
Le principe reste le même à toutes les tailles : commencer par les deux clauses qui protègent le plus (données interdites, outils autorisés), puis enrichir. Une TPE qui forme ses huit salariés est mieux protégée qu'un grand groupe doté d'une charte de 40 pages que personne n'a lue.
Quelle que soit la taille, ne confondez pas « avoir une charte » et « être protégé ». Une charte non formée et jamais révisée donne un faux sentiment de sécurité : c'est l'usage réel des équipes, pas le document, qui détermine votre niveau de risque.
Roadmap 30/60/90 jours et 5 erreurs à éviter
Passer de zéro à un cadre opérationnel ne prend pas un an. Une roadmap réaliste tient en trois jalons.
Jours 1 à 30 — Cartographier
Recensez les usages réels (sondage anonyme pour faire remonter le Shadow AI), désignez un référent et constituez le groupe de travail transversal.
Jours 31 à 60 — Cadrer
Rédigez la charte (5 clauses), faites-la relire par le juridique et le DPO, sélectionnez les outils autorisés et leurs versions entreprise.
Jours 61 à 90 — Déployer
Annexez la charte au règlement intérieur, formez l'ensemble des équipes, et lancez la première revue de suivi.
Et parce qu'un cadre se sabote facilement, voici les pièges les plus documentés à éviter.
Rédiger la charte sans les équipes
Interdire sans former
Ne jamais réviser la charte
Oublier la supervision humaine
Traiter l'IA comme un projet ponctuel
Sources et références
- Bpifrance — Gouvernance de l'IA : 10 étapes (2025) — démarche de gouvernance, formation comme levier, adoption PME/ETI
- IFOP / Talan — Les Français et les IA génératives, baromètre 2025 (2025) — usages professionnels, information de la hiérarchie
- Crédoc — Baromètre du numérique 2026 (2026) — 48 % des Français utilisateurs d'IA générative, vitesse d'adoption
- CNIL — IA et RGPD, nouvelles recommandations (2025) — principes RGPD appliqués à l'IA
- CNIL — IA : comment se mettre en conformité ? (2025) — registre, base légale, DPO, AIPD
- Service-Public (DILA) — AI Act : ce qui change pour les entreprises (2025) — calendrier d'application
- Direction générale des Entreprises — Le règlement européen sur l'IA (2025) — publics concernés, obligations
- AI Act — Article 4 : littératie IA (applicable depuis le 2 février 2025) — obligation de formation des équipes
- DGE — Plan « Osez l'IA » (2025) — objectif 15 M de professionnels formés
- INRIA-Datacraft via CMVRH — Shadow AI et usages informels (2025) — risques des usages informels
- IBM — Coût d'une violation de données 2025 (2025) — 4,44 M$ de coût moyen, lien gouvernance/IA
- Grande Bibliothèque du Droit / Cabinet Haas — Shadow AI (2025) — risques juridiques, stratégie « autoriser en encadrant »
FAQ — Encadrer l'usage de l'IA en entreprise
Comment encadrer l'usage de l'IA en entreprise ?
En trois piliers : une charte d'usage (5 clauses : outils autorisés, données interdites, validation humaine, transparence, référent IA), une gouvernance transversale (DSI, juridique, RH, DPO, métiers) conforme à l'AI Act et au RGPD, et surtout une formation des équipes. Concrètement, suivez les 10 étapes de Bpifrance : cartographier les usages, cadrer par une charte, documenter, former, puis suivre dans le temps.
Qu'est-ce qu'une charte d'usage de l'IA ?
C'est le document interne qui fixe les règles d'utilisation des outils d'IA dans l'entreprise. Une charte efficace contient au minimum cinq clauses : les outils autorisés (tout le reste étant interdit par défaut), les données à ne jamais saisir, l'obligation de vérification humaine, la transparence sur le recours à l'IA, et la désignation d'un référent IA. Annexée au règlement intérieur, elle devient opposable.
Qu'est-ce que le Shadow AI en entreprise ?
Le Shadow AI désigne l'usage d'outils d'IA par les salariés sans validation ni connaissance de leur hiérarchie. Selon le baromètre IFOP/Talan 2025, en 2024 seuls ~36 % des utilisateurs d'IA générative au travail en informaient leur manager — une majorité s'en sert donc sans le signaler. Le risque : fuite de données confidentielles, non-conformité RGPD, et engagement de la responsabilité de l'employeur. La parade la plus efficace n'est pas l'interdiction mais la formation.
Que change l'AI Act pour les entreprises utilisatrices d'IA ?
L'AI Act (règlement UE 2024/1689) concerne toute organisation qui déploie des systèmes d'IA, pas seulement les éditeurs. Les obligations lourdes pèsent sur les fournisseurs à haut risque, mais deux obligations s'imposent à tout employeur dès 2025 : la transparence (signaler une interaction avec une IA, marquer les contenus générés) et la « littératie IA », c'est-à-dire l'obligation de former ses équipes (article 4, applicable depuis le 2 février 2025). L'application est progressive jusqu'au 2 août 2027.
Peut-on interdire ChatGPT au travail ?
Juridiquement, oui — un employeur peut restreindre l'usage d'outils via sa charte informatique. Mais c'est rarement la bonne stratégie : l'interdiction sèche pousse les salariés vers les versions gratuites sur leur téléphone personnel, celles qui réutilisent les données saisies. La majorité des directions reviennent sur l'interdiction pour « autoriser tout en encadrant ». Mieux vaut une charte claire + une formation qu'un blocage qui crée du Shadow AI.
Qui doit gérer la gouvernance de l'IA en entreprise ?
Pas la DSI seule. La gouvernance de l'IA est par nature pluridisciplinaire : DSI, juristes, RH, DPO et représentants des métiers doivent être autour de la table, souvent réunis en groupe de travail ou comité IA. Dans les grands groupes, un comité éthique valide ou refuse certains usages, avec implication du conseil d'administration. Les PME sont concernées au même titre dès qu'elles utilisent automatisations ou scoring.
Combien de temps faut-il pour encadrer l'IA dans son entreprise ?
Une roadmap réaliste tient en 90 jours : 30 jours pour cartographier les usages et désigner un référent, 30 jours pour rédiger et faire valider la charte, 30 jours pour la déployer et former les équipes. L'erreur serait de viser la perfection d'emblée : commencez par les deux clauses qui protègent le plus (données interdites, outils autorisés), puis enrichissez à mesure.
Une charte d'usage de l'IA est-elle obligatoire ?
La charte en tant que document n'est pas imposée en soi par la loi, mais ses effets le sont : l'AI Act exige la transparence et la littératie IA (former vos équipes), et le RGPD impose d'encadrer les traitements de données personnelles. Une charte est le moyen le plus simple de matérialiser ces obligations et de protéger l'entreprise. Sans elle, c'est la responsabilité de l'employeur qui reste exposée en cas d'incident.
Quels outils d'IA autoriser en entreprise ?
Privilégiez les versions « entreprise » ou « équipe » des outils (ChatGPT Enterprise, Microsoft Copilot, Claude for Work, Gemini for Workspace), qui n'utilisent pas vos données pour entraîner les modèles et offrent des garanties contractuelles. Listez explicitement les outils validés dans la charte : tout outil non listé est interdit par défaut. C'est cette liste blanche, plus que l'interdiction, qui coupe le Shadow AI à la racine.
Conclusion
Encadrer l'usage de l'IA en entreprise, ce n'est pas reprendre le contrôle d'une technologie — c'est reprendre le contrôle d'un usage qui a déjà commencé. La charte pose les règles, la gouvernance les fait vivre, mais c'est la formation qui transforme un document en réflexe quotidien. Une entreprise dont les équipes savent distinguer une donnée confidentielle d'une donnée banale n'a presque plus besoin de surveiller : elle a internalisé le cadre.
Pour aller plus loin, lisez nos guides Déployer l'IA en entreprise et L'IA en entreprise : le guide complet, et découvrez comment la formation Work with AI ou les formations IA pour entreprises outillent vos équipes pour un usage à la fois libre et maîtrisé.