Cabinet de stratégie IA · 100 % remote · France & Europe
GUIDE PRATIQUE 11 min de lecture

Charte IA en entreprise 2026
cumuler AI Act, RGPD et NIS2 dans un document unique

Une charte IA conforme en 2026 ne se résume pas à une politique d'usage de ChatGPT. C'est un document qui doit cumuler 3 régulations européennes : l'AI Act (transparence et formation des utilisateurs), le RGPD (traitement des données personnelles via IA), et la directive NIS2 (gestion des incidents de cybersécurité, dont les incidents IA). Beaucoup de PME découvrent à 3 mois de l'application complète de l'AI Act (août 2026) que leur politique IA interne ne couvre qu'un seul texte sur les trois. Voici le squelette en 14 sections pour construire une charte opérationnelle qui résiste à un contrôle CNIL et aux exigences des assureurs cyber.

Calendrier 2026 : 3 textes, 3 échéances

L'urgence de la charte IA en 2026 vient de la convergence de 3 calendriers réglementaires :

  • AI Act (règlement européen 2024/1689) : application complète des obligations principales le 2 août 2026. Obligations Annex III haut risque applicables progressivement (échelonnement reporté à décembre 2027 selon le Digital Omnibus de mai 2026 pour certains systèmes haut risque, mais les obligations transparence et formation art. 4 restent à août 2026).
  • RGPD : applicable depuis 2018, durcissement des contrôles CNIL sur les usages IA en 2026 (plan de contrôle annoncé fin 2025).
  • NIS2 : transposition française effective depuis 2024, application opérationnelle 2025-2026 selon la taille de l'entreprise (entreprises moyennes et grandes : application immédiate).

Conséquence pratique : si vous n'avez pas une charte IA opérationnelle d'ici le 1er juillet 2026, vous arriverez en retard sur l'AI Act avec une marge de manœuvre nulle pour gérer un éventuel contrôle ou incident.

Pourquoi cumuler les 3 textes dans un document unique

Trois raisons opérationnelles.

Cohérence pour les collaborateurs. Un salarié ne fait pas la différence entre une obligation AI Act et une obligation NIS2 au moment d'utiliser un outil IA. Lui demander de consulter 3 documents distincts garantit qu'il ne consultera aucun. Une charte unique facilite l'adhésion et la mémorisation des règles.

Audit unique. En cas de contrôle CNIL, d'audit cyber commandé par un client, ou d'évaluation par un assureur, vous présentez un seul document au lieu de trois. Cela accélère les démarches et donne une impression de maîtrise globale.

Maintenance facilitée. Un seul cycle de révision annuelle au lieu de trois. Un seul responsable interne. Un seul process de signature. À long terme, c'est l'option la plus durable.

L'objection classique : "mais chaque texte a son régime juridique différent". Vrai. C'est pour cela que la charte unique référence explicitement chaque article applicable, sans confondre. Les 3 textes coexistent dans le document, identifiés par section.

Le squelette en 14 sections

Voici les 14 sections que doit contenir une charte IA opérationnelle en 2026. Chaque section couvre tout ou partie des 3 textes.

# Section Textes couverts
1Objet et champ d'applicationAI Act + RGPD + NIS2
2Définitions (système IA, GPAI, déployeur, donnée personnelle, incident IA)AI Act + RGPD + NIS2
3Inventaire des outils IA autorisésAI Act art. 26
4Outils interdits ou conditionnésRGPD + AI Act
5Données interdites (NIR, RIB, santé, secrets)RGPD
6Obligation de supervision humaineAI Act + RGPD art. 22
7Transparence (mentions IA dans livrables)AI Act art. 50
8Formation et littératie IAAI Act art. 4
9Procédure d'incident IANIS2 + RGPD
10Cas particuliers (freelances, stagiaires, sous-traitants)RGPD
11Sanctions internes (graduation disciplinaire)Code du travail
12Mécanisme de mise à jourAI Act + RGPD (accountability)
13Signature individuelle et conservationCode du travail + RGPD
14Annexes (DPA fournisseurs, glossaire, contacts internes)RGPD + AI Act

Section par section : 5 zones où concentrer l'effort

Je détaille ici les 5 sections qui font la différence entre une charte solide et une charte fragile. Les 9 autres sections sont importantes mais plus standardisées.

Section 3 : inventaire des outils IA autorisés

Format recommandé : un tableau dans la charte (ou annexe) avec colonnes Outil, Éditeur, Version, Usages autorisés, Usages interdits, DPA signé, Référent interne.

Exemple type pour une PME de 30 personnes :

Outil Éditeur Usages autorisés DPA
ChatGPT TeamOpenAIBrainstorming, rédaction marketing, traduction
Claude ProAnthropicAnalyse documents, code, raisonnement complexe
Copilot 365MicrosoftProductivité bureautique (Word, Excel, Outlook)
Mistral Le ChatMistral AIAlternative souveraine, données sensibles
ChatGPT FreeOpenAIINTERDIT en pro (pas de DPA, données réutilisées)

Cet inventaire doit être mis à jour à chaque nouvel outil. C'est sa principale valeur opérationnelle. Sans cette mise à jour, la charte devient rapidement déconnectée de la réalité.

Section 8 : formation et littératie IA (art. 4 AI Act)

L'article 4 de l'AI Act impose à tout déployeur de systèmes IA d'assurer un niveau suffisant de littératie IA chez ses utilisateurs. Concrètement, votre charte doit prévoir :

  • Plan de formation initial pour tout nouvel arrivant (1 session de 1 à 2 heures sur les usages, les risques, les outils autorisés).
  • Formation continue annuelle (mise à jour des outils, nouveaux risques émergents).
  • Registre des formations suivies (date, contenu, signatures de présence, conservation 5 ans).
  • Évaluation simple de la compréhension (quiz ou questionnaire en fin de session).

L'idée n'est pas de transformer tout le monde en expert IA, mais de garantir que chaque utilisateur connaît les outils autorisés, les données interdites, et le réflexe en cas d'incident.

Section 9 : procédure d'incident IA (NIS2)

Un incident IA est tout événement qui compromet la confidentialité, l'intégrité ou la disponibilité d'un système IA, ou qui produit un dommage. Exemples concrets : fuite de données via un prompt mal cadré, hallucination produisant une décision dommageable pour un client, attaque par prompt injection sur un chatbot public, panne d'un workflow n8n critique avec IA.

La procédure type à inclure dans votre charte :

  1. T+0 : détection par n'importe quel collaborateur. La charte rappelle l'obligation de signalement immédiat.
  2. T+15 min : notification au référent IA et au RSSI par e-mail dédié ou canal Slack/Teams.
  3. T+24 h (NIS2 entités assujetties) : notification initiale à l'ANSSI via la plateforme dédiée si le seuil de gravité est atteint.
  4. T+72 h : rapport intermédiaire à l'ANSSI avec premières conclusions.
  5. T+30 j : retour d'expérience documenté en interne avec plan d'action correctif.

Section 12 : mécanisme de mise à jour

Cette section transforme la charte d'un document mort en outil vivant. Elle doit préciser :

  • Déclencheurs de mise à jour : nouvel outil IA introduit, nouvelle réglementation, incident significatif, contrôle externe.
  • Responsable : nominativement (DPO, référent IA, RSSI, DRH selon la taille de l'organisation).
  • Cadence minimale : révision annuelle obligatoire, même sans déclencheur.
  • Validation : par qui (direction, comité IA si présent), avec quelle formalisation (avenant signé par les collaborateurs).

Section 13 : signature individuelle et conservation

La charte n'a de valeur juridique que si elle est signée individuellement par chaque collaborateur. 3 règles pratiques :

  • Signature électronique qualifiée recommandée (Yousign, Universign, DocuSign). Génère un log horodaté constituant une preuve solide en cas de litige.
  • Conservation 5 ans minimum dans le dossier individuel RH du collaborateur. La durée correspond à la prescription en matière sociale.
  • Signature à la mise à jour : en cas de modification substantielle, demander une nouvelle signature. Une simple notification ne suffit pas pour engager le collaborateur sur des nouvelles règles.

Cas particuliers : freelances, remote, stagiaires

Une charte unique avec annexes spécifiques est la meilleure approche.

Freelances et sous-traitants. Non couverts par le règlement intérieur. Engagement via annexe contractuelle ajoutée au contrat de prestation, reprenant les obligations IA (inventaire des outils utilisés sur la mission, données interdites, procédure incident, formation initiale). La DPA du freelance peut être négociée séparément si le volume justifie.

Collaborateurs en remote. Aucune particularité réglementaire mais ajouter une mention sur l'environnement de travail : pas d'utilisation de l'outil IA personnel pro sur un poste familial partagé, attention aux écrans visibles en visio.

Stagiaires. Statut juridique distinct mais soumis aux mêmes obligations IA. Signature de la charte en début de stage, formation initiale dès la première semaine, registre des formations à jour. Pas de relâchement : un stagiaire peut produire un incident IA significatif comme tout autre utilisateur.

Sanctions concrètes par non-conformité

Texte Manquement Sanction maximale
AI Act art. 5Usage IA interdit (scoring social, manipulation)35 M€ ou 7 % CA mondial
AI Act Annex IIIManquement obligations haut risque15 M€ ou 3 % CA mondial
AI Act art. 50Défaut de transparence7,5 M€ ou 1 % CA mondial
RGPD art. 5.2Défaut d'accountability (pas de charte, pas de registre)20 M€ ou 4 % CA mondial
NIS2Défaut de notification d'incident10 M€ ou 2 % CA mondial

Les sanctions sont théoriques mais le risque opérationnel est réel : avertissement public CNIL, injonction de cesser le traitement, perte de couverture cyber, résiliation contractuelle par un donneur d'ordre. Pour une PME, l'impact réputationnel peut dépasser l'impact financier.

Checklist : votre charte est-elle prête ?

10 questions pour valider votre projet de charte :

  1. L'inventaire des outils IA reflète-t-il votre stack réelle ?
  2. Les données interdites incluent-elles NIR, RIB, données de santé, secrets industriels ?
  3. La supervision humaine est-elle exigée sur tous les outputs IA destinés à un client ?
  4. Les mentions de transparence art. 50 AI Act sont-elles précisées (modèles d'attestation IA dans livrables) ?
  5. Le plan de formation art. 4 a-t-il un calendrier et un registre ?
  6. La procédure incident IA a-t-elle des délais (24 h, 72 h, 30 j) et des destinataires nominatifs ?
  7. Les freelances, stagiaires et sous-traitants sont-ils couverts par des annexes spécifiques ?
  8. Le mécanisme de mise à jour est-il décrit (déclencheurs, responsable, cadence) ?
  9. Le workflow de signature est-il défini (signature électronique, conservation 5 ans) ?
  10. Les annexes incluent-elles les DPA fournisseurs IA et un glossaire des termes techniques ?

Si vous répondez "non" à 3 questions ou plus, votre projet de charte n'est probablement pas prêt pour un contrôle ou un audit.

Pour aller plus loin

Matthias Marin, fondateur AzenFlow

RÉDIGÉ PAR

Matthias Marin

Fondateur AzenFlow, cabinet de stratégie IA spécialisé en conformité AI Act, RGPD et NIS2 pour PME françaises. 40+ automatisations en production active (depuis février 2025), 25 missions cabinet réalisées, dont rédaction de chartes IA cumulant les 3 textes.

Profil LinkedIn de Matthias Marin →

Article publié le

QUESTIONS FRÉQUENTES

Questions fréquentes.

Combien de temps pour rédiger une charte IA conforme aux 3 textes ?

4 à 6 semaines pour une PME de moins de 50 personnes, 2 à 3 mois pour une ETI. Le délai principal vient de l'audit interne des outils IA et de la validation transverse (DRH, DPO, RSSI, direction). Un cabinet conseil expérimenté peut produire un draft initial en 2 semaines, mais l'appropriation interne demande systématiquement plus de temps.

Le RGPD et l'AI Act sont-ils vraiment liés ?

Oui, sur deux plans. D'abord, beaucoup de systèmes IA traitent des données personnelles, donc le RGPD s'applique en plus de l'AI Act. Ensuite, les deux textes se complètent : le RGPD encadre l'usage des données ; l'AI Act encadre l'usage du système qui traite ces données. Concrètement, un chatbot interne RH doit être conforme aux deux : DPA fournisseur (RGPD), supervision humaine et transparence (AI Act), formation des utilisateurs (AI Act art. 4).

NIS2 s'applique-t-il à toutes les PME ?

Non. NIS2 s'applique aux entités essentielles et importantes, ce qui inclut les entreprises de plus de 50 salariés ou 10 M€ de chiffre d'affaires dans certains secteurs (santé, énergie, numérique, transport, finance, administration publique). Les très petites PME ne sont pas directement assujetties, mais peuvent l'être indirectement si elles sont sous-traitantes d'une entité concernée. En pratique, traiter NIS2 dans la charte IA est une bonne pratique défensive même si vous n'êtes pas formellement assujetti.

Faut-il une charte distincte pour chaque outil IA ?

Non. Une charte unique couvrant tous les outils est plus efficace : inventaire centralisé, règles communes (supervision humaine, données interdites), procédures partagées (incident, formation). Les particularités par outil sont gérées en annexe (un paragraphe par outil avec ses spécificités). Multiplier les chartes crée de la dette documentaire et de la confusion chez les collaborateurs.

La charte doit-elle être traduite si on a des collaborateurs étrangers ?

Oui, dans la langue de travail effective. Si vos collaborateurs travaillent en anglais (équipes tech, équipes commerciales internationales), une version anglaise est nécessaire. La version française reste la version juridique de référence en France, mais les collaborateurs doivent pouvoir comprendre ce qu'ils signent. Le risque d'une charte mal comprise : recours du collaborateur en cas de sanction disciplinaire.

Quel est le contrôle CNIL en pratique en 2026 ?

La CNIL a annoncé un focus sur les usages IA dans son plan de contrôle 2026, en particulier dans le domaine RH (recrutement automatisé, scoring de performance). Le contrôle typique : audit documentaire (charte, registre, DPA fournisseurs), audit technique (outils déployés vs outils déclarés), entretiens avec collaborateurs. Sans charte, vous êtes en mauvaise position dès l'audit documentaire.

Faut-il signer électroniquement ou physiquement ?

Signature électronique fortement recommandée pour la traçabilité. Les outils de signature électronique qualifiée (Yousign, Universign, DocuSign, etc.) génèrent un log horodaté et un identifiant unique qui constitue une preuve solide en cas de litige. Signature physique acceptable mais demande conservation papier ou numérisation, ce qui multiplie les risques de perte. Quel que soit le mode, conservation 5 ans minimum dans le dossier individuel du collaborateur.

Une SASU avec 1 salarié doit-elle avoir une charte IA ?

Oui si le salarié utilise des outils IA dans son travail. La taille de l'entreprise ne fait pas exception aux obligations AI Act et RGPD. L'effort de rédaction est proportionnellement plus léger (charte de 5 à 8 pages au lieu de 15 à 20), mais les éléments structurants restent les mêmes : inventaire, périmètre, formation, incident, signature. Le SASU à un salarié peut aussi être contrôlé par la CNIL.

PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier les bons cas d'usage IA et automatisation pour votre PME.

Réserver l'audit