Comment encadrer l’usage de l’intelligence artificielle en entreprise ?

par | 10 Juin 2026

Usage de l'IA en entreprise - Cabinet Nathalie Matteoda Avocat droit du numérique

Vos équipes utilisent déjà ChatGPT, Copilot, Claude ou Gemini. Probablement tous les jours, et probablement sans cadre formel.

Rédaction d’e-mails, réponses aux clients, tri de candidatures, création de contenus, analyse de données : l’intelligence artificielle s’est installée dans les usages professionnels plus vite que les entreprises n’ont eu le temps de l’encadrer.

Face à ce constat, beaucoup de dirigeants ont une première réflexion : « il nous faut une charte IA ». C’est une bonne intuition.

Mais entre le règlement européen sur l’intelligence artificielle (AI Act), le RGPD, le droit du travail, le secret des affaires et la propriété intellectuelle, une simple charte est rarement suffisante pour protéger réellement l’entreprise.

Cet article répond aux trois questions que se posent aujourd’hui les dirigeants : quelles sont mes obligations ? Quels sont les risques concrets ? Et comment mettre en place une véritable gouvernance de l’IA ?

Avertissement : cet article fournit une information juridique générale et ne constitue pas un conseil individualisé. Chaque entreprise présente une situation spécifique qui mérite une analyse dédiée. Pour sécuriser l’usage de l’IA dans votre organisation, consultez un avocat spécialisé.

L’IA est déjà dans votre entreprise, souvent sans que vous le sachiez

« Mes équipes utilisent-elles déjà l’IA sans cadre ? »

La réponse est presque toujours oui. La première étape d’une démarche de conformité consiste donc à prendre conscience de l’ampleur réelle des usages, bien au-delà de ce que la direction imagine.

Des usages quotidiens devenus invisibles pour la direction

L’intelligence artificielle est aujourd’hui mobilisée dans des tâches que peu de dirigeants associent spontanément à un risque juridique :

  • Rédaction de contrats, de devis, de comptes rendus et d’e-mails
  • Réponses automatisées aux clients et gestion du service après-vente
  • Tri et présélection de candidatures lors des recrutements
  • Production de contenus marketing, visuels et publicitaires
  • Analyse de données commerciales et prédictions de comportement client

Les outils concernés sont nombreux et souvent gratuits : ChatGPT, Copilot, Claude, Gemini, Midjourney, Notion AI, parmi des dizaines d’autres. Leur facilité d’accès explique leur diffusion rapide et incontrôlée.

Le « shadow AI » : le risque que personne ne pilote

On désigne par « shadow AI » l’ensemble des usages de l’intelligence artificielle adoptés par les collaborateurs en dehors de tout cadre validé par l’entreprise.

Un commercial qui colle un fichier client dans un outil gratuit pour le résumer, une assistante RH qui soumet des CV à une IA pour les classer, un graphiste qui génère des visuels à partir d’un outil dont il n’a pas lu les conditions d’utilisation : autant de pratiques courantes, et autant de points d’entrée pour un incident juridique.

Le shadow AI est aujourd’hui la principale source de risque IA en entreprise. On ne peut pas encadrer ce que l’on ne connaît pas : la cartographie des usages réels est le point de départ de toute démarche sérieuse.

Les 5 risques juridiques que tout dirigeant doit connaître

« Qu’est-ce que je risque vraiment ? »

Derrière chaque usage de l’IA se cachent des risques juridiques précis, rattachés à des textes en vigueur. En voici les cinq principaux.

Risque 1 · Données personnelles et RGPD

Dès qu’un outil d’IA traite des données clients, salariés ou prospects, le RGPD s’applique. Soumettre une base de données à une IA, automatiser une décision affectant une personne, ou traiter des données sensibles sans base légale expose l’entreprise à des sanctions.

L’article 22 du RGPD encadre strictement les décisions entièrement automatisées, et l’article 9 protège les données sensibles (santé, opinions, origine, etc.).

Risque 2 · Secret des affaires et confidentialité

Lorsqu’un collaborateur saisit des informations stratégiques (données financières, fichiers clients, contrats, projets) dans une IA générative externe, ces données peuvent être conservées, voire utilisées pour entraîner le modèle.

La protection du secret des affaires, garantie par les articles L. 151-1 et suivants du Code de commerce, suppose que l’entreprise ait pris des mesures de protection raisonnables. Laisser circuler librement des informations confidentielles dans des outils externes fragilise précisément cette protection.

Risque 3 · Risques RH et discrimination algorithmique

Les outils d’IA utilisés en recrutement, en évaluation ou en gestion de carrière peuvent reproduire et amplifier des biais discriminatoires présents dans leurs données d’entraînement.

Or, les articles 225-1 et 225-2 du Code pénal interdisent toute discrimination fondée sur des critères prohibés. Une décision RH discriminatoire prise à l’aide d’une IA engage la responsabilité de l’entreprise, même si le biais provient de l’algorithme.

Risque 4 · Propriété intellectuelle

Les contenus générés par IA soulèvent deux questions distinctes : qui en est titulaire, et présentent-ils un risque de contrefaçon ?

Conformément à l’article L. 111-1 du Code de la propriété intellectuelle, seule une personne physique peut être auteur. Un contenu purement généré par IA n’est en principe pas protégeable et son exploitation commerciale sans vérification peut exposer l’entreprise à une action en contrefaçon si l’IA a reproduit une œuvre protégée.

Risque 5 · Responsabilité et contrats

Une erreur générée par une IA comme une information fausse communiquée à un client, un calcul erroné, un conseil inexact,  peut engager la responsabilité civile de l’entreprise.

A cela s’ajoute le risque de dépendance à un fournisseur unique, dont la défaillance ou le changement de conditions peut déstabiliser une activité entière. Ces risques doivent être anticipés contractuellement.

A RETENIR

✔  RGPD : tout traitement de données personnelles par l’IA doit reposer sur une base légale.

✔  Secret des affaires : ne jamais injecter d’informations confidentielles dans une IA externe non sécurisée.

✔  RH : toute décision automatisée affectant une personne exige une supervision humaine.

✔  PI : les contenus générés par IA ne sont en principe pas protégeables et peuvent être contrefaisants.

✔  Responsabilité : l’entreprise reste responsable des erreurs produites par les outils qu’elle déploie.

Pourquoi une charte IA seule ne suffit pas à vous protéger

« J’ai déjà une charte IA : est-ce que ça me couvre ? »

C’est probablement la question la plus importante de cet article. Beaucoup d’entreprises pensent être protégées parce qu’elles ont diffusé une charte IA. En réalité, tout dépend de la manière dont cette charte a été adoptée.

Charte informative ou charte normative : une distinction capitale

Une charte IA simplement diffusée par e-mail ou publiée sur l’intranet n’a qu’une portée informative. Elle sensibilise, elle guide, mais elle ne crée aucune obligation contraignante pour les salariés et ne peut pas fonder une sanction disciplinaire.

Pour devenir contraignante, la charte doit être intégrée au règlement intérieur. Conformément à l’article L. 1321-1 du Code du travail, le règlement intérieur fixe les règles générales et permanentes de l’entreprise, ce qui inclut les règles d’usage des outils informatiques et, par extension, de l’IA.

La procédure à respecter pour rendre la charte opposable

Pour qu’une charte IA acquière une portée normative, une procédure stricte doit être suivie, définie par les articles L. 1321-4 et suivants du Code du travail :

  1. Consultation préalable du Comité Social et Économique (CSE) avec recueil de son avis
  2. Transmission du projet, accompagné de l’avis du CSE, à l’inspection du travail
  3. Dépôt au greffe du conseil de prud’hommes
  4. Information effective de l’ensemble des salariés
  5. Respect d’un délai d’au moins un mois avant l’entrée en vigueur

 A défaut de cette procédure, une charte reste purement informative. Elle ne peut pas servir de fondement à un licenciement, même en cas de manquement grave d’un salarié, par exemple l’injection de données confidentielles dans un outil externe.

Ce que la charte ne remplace jamais

Même parfaitement rédigée et intégrée au règlement intérieur, la charte IA ne se substitue pas aux obligations techniques et organisationnelles imposées par le RGPD et l’AI Act.

Elle ne remplace ni le registre des traitements, ni les analyses d’impact (AIPD), ni les évaluations de conformité, ni la documentation technique, ni la supervision humaine effective des décisions automatisées.

La charte est un élément d’un dispositif, jamais le dispositif tout entier. Elle est nécessaire, mais elle doit s’inscrire dans une gouvernance globale pour produire un effet protecteur réel.

Ce que l’AI Act impose réellement aux entreprises en 2026

« L’AI Act, ça me concerne, moi, simple utilisateur d’IA ? »

Oui. Beaucoup de dirigeants pensent que l’AI Act ne vise que les géants technologiques qui conçoivent les modèles.

C’est une erreur : le règlement européen 2024/1689, dit AI Act, impose aussi des obligations aux entreprises qui se contentent d’utiliser des systèmes d’IA.

Votre entreprise est un « déployeur » au sens de l’AI Act

L’article 3 de l’AI Act qualifie de « déployeur » toute entité qui utilise un système d’IA dans le cadre de son activité professionnelle.

A ce titre, votre entreprise est soumise à des obligations spécifiques. L’article 4 impose notamment de garantir un niveau suffisant de maîtrise de l’IA par le personnel qui l’utilise. Ceci suppose des actions de formation continue, et non la seule diffusion d’une charte.

Le régime par niveau de risque : interdit, élevé, limité, minimal

L’AI Act gradue ses obligations selon le niveau de risque du système d’IA :

  • Risque inacceptable : pratiques interdites (manipulation comportementale, notation sociale, certaines reconnaissances faciales), article 5
  • Risque élevé : systèmes de recrutement, d’évaluation des salariés, de tri de CV sont des obligations strictes, articles 6 et suivants
  • Risque limité : chatbots, IA générative sont des obligations de transparence
  • Risque minimal : filtres anti-spam, IA de confort n’ont pas d’obligation spécifique

Le point d’attention majeur pour les entreprises concerne les systèmes à haut risque.

Si vous utilisez une IA pour trier des candidatures ou évaluer vos collaborateurs, vous êtes soumis à des obligations lourdes : système de gestion des risques, contrôle de la qualité des données, traçabilité, supervision humaine effective et information des personnes concernées.

Des sanctions à la hauteur de l’enjeu

Les manquements à l’AI Act sont lourdement sanctionnés. Pour les violations les plus graves, les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial en droit français, le montant le plus élevé étant retenu. Ces sanctions s’ajoutent à celles prévues par le RGPD, qui s’applique de manière cumulative.

IA et propriété intellectuelle : le sujet souvent oublié

« A qui appartiennent les contenus que mon entreprise génère avec l’IA ? »

C’est l’angle mort de la plupart des démarches de conformité IA. Pourtant, dès qu’une entreprise exploite commercialement des contenus générés par IA, comme des visuels, textes, code, supports marketing, elle s’expose à des questions de propriété intellectuelle réelles.

Qui est titulaire d’un contenu généré par IA ?

En droit français, seule une personne physique peut être auteur d’une œuvre (article L. 111-1 du CPI). L’intelligence artificielle n’étant pas une personne juridique, elle ne peut pas être titulaire de droits d’auteur.

Un contenu purement généré par une IA, sans intervention créative humaine caractérisée, n’est donc en principe pas protégeable par le droit d’auteur.

Peut-on protéger une création assistée par IA ?

La situation diffère lorsque l’IA n’est qu’un outil au service d’une création humaine. Si une personne fait des choix créatifs significatifs, tels que direction artistique, sélection, retouche, composition, l’œuvre résultante peut potentiellement être protégée, à condition de pouvoir démontrer cette empreinte créative. La frontière est délicate et s’apprécie au cas par cas.

Le risque de contrefaçon des contenus générés

Un modèle d’IA est entraîné sur d’immenses corpus de données, dont des œuvres protégées. Il peut donc générer des contenus reproduisant tout ou partie d’une création existante.

L’entreprise qui exploite un tel contenu sans vérification s’expose à une action en contrefaçon, même de bonne foi. De plus, les conditions générales d’utilisation de certains outils n’autorisent pas l’exploitation commerciale des contenus produits.

Comment sécuriser l’exploitation commerciale

Plusieurs mesures permettent de réduire ce risque :

  • vérifier les conditions d’utilisation et les licences de chaque outil
  • conserver une trace des interventions humaines dans le processus créatif
  • mettre en place une vérification systématique avant toute diffusion externe
  • et prévoir des clauses contractuelles adaptées avec les prestataires et les fournisseurs d’IA. La charte IA doit intégrer ces règles d’exploitation.

Les 7 piliers d’une gouvernance IA solide

« Concrètement, par où je commence ? »

Une gouvernance de l’IA efficace repose sur sept piliers complémentaires. Ensemble, ils constituent le dispositif que la charte seule ne peut pas remplacer.

  1. Cartographier les usages : identifier tous les outils d’IA utilisés dans l’entreprise, y compris les usages informels, et déterminer lesquels traitent des données personnelles ou sensibles.
  2. Identifier et hiérarchiser les risques : évaluer le niveau de risque de chaque usage au regard de l’AI Act, du RGPD, du secret des affaires et du droit du travail.
  3. Définir une politique interne et une charte opposable : rédiger une charte IA et l’intégrer au règlement intérieur selon la procédure légale, pour lui donner une portée contraignante.
  4. Former les équipes : répondre à l’obligation de maîtrise de l’IA posée par l’article 4 de l’AI Act, avec des formations générales et spécialisées par métier.
  5. Encadrer les prestataires et fournisseurs : vérifier les conditions d’utilisation, conclure des contrats de sous-traitance (DPA) conformes au RGPD, et négocier des garanties contractuelles.
  6. Sécuriser les créations et les données : protéger le secret des affaires, vérifier les droits sur les contenus générés, et mettre en place des mesures techniques de sécurité.
  7. Mettre en place une gouvernance IA : créer un comité IA pluridisciplinaire (juridique, DSI, RH, DPO, métiers) chargé de piloter la stratégie, de valider les outils et de suivre les risques.

Ces sept piliers ne se mettent pas en place en une fois. Une démarche progressive, pilotée et documentée, est plus efficace et plus crédible en cas de contrôle qu’une réaction précipitée.

Trois situations concrètes et ce qu’elles enseignent

« Est-ce que mon cas ressemble à l’un de ceux-là ? »

Ces trois situations, fréquemment rencontrées, illustrent les limites d’une charte isolée et l’intérêt d’une gouvernance complète.

Cas 1 · La PME avec une charte « par e-mail »

Une PME diffuse une charte IA par courriel pour encadrer l’usage de ChatGPT et d’autres outils gratuits.

Cette charte n’ayant pas été intégrée au règlement intérieur, elle reste purement informative : elle ne peut pas fonder de sanction.

Surtout, elle ne protège pas contre les fuites d’informations stratégiques injectées dans des outils externes, ni contre les manquements au RGPD. En cas de contrôle, elle ne suffira pas à démontrer les mesures de conformité exigées.

Cas 2 · L’entreprise qui recrute via une IA

Une entreprise utilise un outil d’IA pour trier les CV et noter les candidats. Il s’agit d’un système à haut risque au sens de l’AI Act.

Les obligations se cumulent : gestion des risques, contrôle des biais, traçabilité et supervision humaine effective au titre de l’AI Act, mais aussi information des candidats et encadrement des décisions automatisées au titre de l’article 22 du RGPD.

Une charte, même normative, ne suffit pas : elle doit être complétée par des mesures techniques, organisationnelles et pédagogiques.

Cas 3 · Le traitement de données sensibles sans formation

Une entreprise traite des données personnelles, parfois sensibles, via des outils d’IA, mais sans former ni contrôler ses équipes, malgré l’existence d’une charte.

La charte ne remplace ni le registre des traitements, ni les analyses d’impact, ni la politique de gestion des droits des personnes. En cas de contrôle de la CNIL, sa seule existence ne démontrera pas la mise en œuvre de mesures appropriées et effectives.

L’enseignement commun à ces trois cas : la charte est un point de départ utile, mais la sécurité juridique ne se construit qu’avec un dispositif complet, documenté et réellement appliqué.

Votre entreprise est-elle prête ? La checklist de conformité IA

« Comment je sais où j’en suis ? »

Cette checklist d’auto-évaluation permet d’identifier rapidement vos zones de risque prioritaires. Chaque case non cochée signale un point à traiter.

☐ Les outils d’IA utilisés dans l’entreprise sont identifiés et recensés

☐ Les données saisies dans ces outils sont maîtrisées et encadrées

☐ Une charte IA existe et a été intégrée au règlement intérieur

☐ Les équipes ont été formées à un usage conforme et sécurisé

☐ Les contrats avec les fournisseurs d’IA ont été analysés (CGU, DPA)

☐ Les créations générées par IA sont sécurisées juridiquement

☐ Les risques RH et de discrimination ont été évalués

☐ Une gouvernance IA (comité, référent, procédures) a été mise en place

Si plusieurs cases restent vides, votre entreprise présente une exposition juridique qu’il est préférable de traiter avant qu’un incident ou un contrôle ne survienne.

FAQ : Charte IA et gouvernance en entreprise

Une charte IA est-elle obligatoire en entreprise ?

Aucun texte n’impose expressément l’adoption d’une charte IA dédiée. En revanche, l’AI Act impose au déployeur de garantir la maîtrise de l’IA par son personnel, et le RGPD exige des mesures techniques et organisationnelles appropriées.

La charte est l’un des outils les plus efficaces pour répondre à ces obligations, mais elle doit s’inscrire dans une démarche plus large.

Quelle différence entre une charte IA et son intégration au règlement intérieur ?

Une charte simplement diffusée a une portée informative : elle guide les collaborateurs mais ne peut pas fonder de sanction. Une charte intégrée au règlement intérieur, après consultation du CSE et accomplissement des formalités légales, devient contraignante et opposable aux salariés.

C’est cette seconde forme qui permet à l’employeur d’exercer son pouvoir disciplinaire en cas de manquement.

Peut-on licencier un salarié qui a injecté des données confidentielles dans ChatGPT ?

C’est possible, mais la sécurité juridique du licenciement dépend de plusieurs facteurs : l’existence d’une charte ayant valeur de règlement intérieur, la réalité des formations dispensées, l’existence de clauses de confidentialité et la gravité du manquement.

En l’absence de cadre clair et de formation préalable, le licenciement peut être requalifié en licenciement sans cause réelle et sérieuse. Une analyse au cas par cas est indispensable.

L’AI Act s’applique-t-il aux PME ?

Oui. L’AI Act ne prévoit pas d’exonération générale pour les PME. Toute entreprise qui utilise un système d’IA est qualifiée de déployeur et soumise aux obligations correspondant au niveau de risque de cet usage.

Le règlement prévoit toutefois certaines mesures de soutien et de proportionnalité pour les petites structures, mais sans les dispenser des obligations fondamentales.

Qui est propriétaire d’un contenu généré par une IA dans mon entreprise ?

En principe, un contenu purement généré par IA n’est pas protégeable par le droit d’auteur, l’IA ne pouvant être qualifiée d’auteur.

Cela signifie que l’entreprise ne dispose pas nécessairement de droits exclusifs sur ce contenu et qu’un tiers pourrait potentiellement l’exploiter.

Lorsqu’une intervention créative humaine significative existe, la protection devient envisageable. Les conditions d’utilisation de l’outil et les contrats applicables doivent être vérifiés.

Faut-il consulter le CSE avant de déployer un outil d’IA ?

Dans de nombreux cas, oui. Le Code du travail impose la consultation du CSE pour l’introduction de nouvelles technologies susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération ou les conditions de travail.

Le déploiement d’un outil d’IA significatif entre fréquemment dans ce cadre, et son intégration à la charte du règlement intérieur nécessite également une consultation préalable.

En conclusion, l’intelligence artificielle est devenue un outil de travail quotidien dans la plupart des entreprises. La véritable question n’est plus de savoir si l’IA doit être utilisée, mais comment l’utiliser dans un cadre juridiquement sécurisé.

Une simple charte, surtout lorsqu’elle est diffusée sans valeur normative, ne suffit généralement pas. La protection réelle de l’entreprise passe par une approche globale, associant gouvernance, conformité réglementaire, protection des données, propriété intellectuelle et accompagnement des équipes.

Cette démarche n’a rien d’insurmontable.

Menée de façon progressive et documentée, avec l’appui d’un conseil spécialisé, elle permet de transformer un risque diffus en un avantage maîtrisé et de tirer pleinement parti de l’IA sans exposer l’entreprise.

Vous souhaitez sécuriser l’usage de l’IA dans votre entreprise ?

Le Cabinet Nathalie Matteoda, avocat spécialisé en droit du numérique et en propriété intellectuelle à Paris, vous accompagne : audit de conformité IA, rédaction d’une charte intégrée au règlement intérieur, mise en place d’une gouvernance complète.

Prendre rendez-vous  : Tél. 06 42 18 50 53 ou prenez rendez-vous en ligne.

Suivre mon actualité sur Linkedin ? Nathalie Matteoda – Avocat en droit de la propriété intellectuelle

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *