86 % des grandes entreprises françaises ont validé une charte d'usage responsable de l'IA en 2026 (source KPMG). Les PME, elles, sont majoritairement dépourvues — alors même que l'AI Act européen entre en vigueur pour les usages RH « haut risque » le 2 août 2026, avec des pénalités jusqu'à 35 millions d'euros. Une charte IA n'est ni un document RH de façade, ni un exercice juridique. C'est le texte opérationnel qui cadre ce que vos équipes peuvent faire, pas faire, et comment. Voici comment la rédiger en deux pages utiles, avec le modèle copiable.

1. Pourquoi une charte IA n'est plus optionnelle en 2026

Quatre réglementations se superposent et toutes sont cumulatives : respecter l'AI Act n'exempte pas du RGPD, et ni l'un ni l'autre ne remplace le Code du travail ou les conventions collectives. Votre charte IA est le document unique qui traduit l'ensemble de ces contraintes en règles pratiques pour vos collaborateurs.

Cadre légal cumulatif applicable à toute charte IA en France en 2026 : AI Act européen (35 M€ ou 7 % CA mondial), RGPD (20 M€ ou 4 % CA), Code du travail art. L.2312-8 (consultation CSE obligatoire), conventions collectives.
Quatre textes cumulatifs — une seule charte pour les coordonner

Sources : Commission européenne, CNIL, Éditions Tissot, Edenred CSE 2026.

L'AI Act (Règlement UE 2024/1689) classe les usages IA par niveau de risque. Les applications RH (recrutement, évaluation, supervision) sont classées « haut risque » et exigent supervision humaine, traçabilité, gestion du risque et transparence dès le 2 août 2026. Les sanctions peuvent atteindre 7 % du chiffre d'affaires mondial.

Le RGPD ne disparaît pas : il s'applique en parallèle dès qu'une IA traite des données personnelles. Les usages RH et le monitoring salarié imposent le plus souvent une AIPD (Analyse d'Impact sur la Protection des Données). La CNIL a publié en 2024 et 2025 plusieurs recommandations spécifiques sur l'IA au travail.

Le Code du travail oblige à consulter le CSE avant l'introduction de toute nouvelle technologie modifiant les conditions de travail (article L.2312-8). L'absence de consultation préalable constitue un délit d'entrave, passible de dommages-intérêts.

Les conventions collectives (Syntec, métallurgie, banque) commencent à intégrer des clauses spécifiques à l'IA : formation OPCO, droit à la déconnexion algorithmique, négociation annuelle sur les outils déployés. À vérifier pour chaque branche.

2. Les trois objectifs d'une charte qui marche

Une bonne charte IA n'est pas un empilement de mentions légales. Elle poursuit trois objectifs opérationnels.

Clarifier. Le collaborateur qui ouvre la charte doit, en moins de dix minutes, savoir ce qu'il peut faire et ce qu'il doit éviter. Si ce n'est pas le cas, la charte échoue. Les directeurs RH qui remettent un document de 40 pages rempli de généralités compliance ne résolvent aucun problème.

Protéger. L'entreprise, ses données, ses clients, ses salariés. La charte est le document que vous produirez en cas de contrôle CNIL, d'audit ou d'incident. Elle démontre la démarche de conformité et limite votre responsabilité.

Responsabiliser. Le collaborateur qui signe la charte est engagé. Cela ne remplace pas la formation, mais cela pose un cadre contractuel que chacun a lu et accepté.

3. Les sept sections-type

Les sept sections-type d'une charte IA : intention, périmètre et définitions, outils autorisés, zones d'usage, contenu généré et responsabilité, formation, sanction et révision.
Le squelette minimal — deux pages, pas de jargon

Cadre consolidé à partir des modèles CIGREF, Numeum, Lattice, Secureframe, Writer.com et des chartes publiées par Deloitte, Salesforce, WIRED, Best Buy.

Section 1 — Intention

Cinq lignes maximum. Pourquoi cette charte existe, ce que l'entreprise croit sur l'IA. C'est la seule partie qui peut être « philosophique ». Par exemple : « L'IA est un outil qui décharge nos équipes de tâches répétitives. Elle ne remplace pas la décision humaine. Elle ne doit pas entrer dans nos relations avec clients, partenaires et collaborateurs sur des décisions engageantes. Cette charte traduit ces principes en règles pratiques. »

Section 2 — Périmètre et définitions

Ce que l'entreprise entend par « IA » : assistants conversationnels (Claude, ChatGPT, Perplexity), générateurs d'image et vidéo (Midjourney, Nano Banana Pro, Veo), copilotes code (GitHub Copilot, Cursor, Claude Code), outils métier IA-native (Notion AI, Superhuman). À qui s'applique la charte : tous les salariés, stagiaires, apprentis, prestataires externes ayant accès aux systèmes de l'entreprise.

Section 3 — Outils autorisés

Liste blanche des IA validées, avec pour chacune : nom, usage recommandé, limites (ne pas y coller X), mentions contractuelles (data-no-training confirmée). Exemple : « Claude Team Enterprise (abonnement payant) avec données non utilisées pour le training. Autorisé pour la rédaction, la synthèse, l'analyse documentaire. Interdit : saisie de données personnelles clients. » Prévoir un processus simple pour demander l'ajout d'un nouvel outil au référent IA.

Section 4 — Zones d'usage

C'est la partie la plus opérationnelle. Une matrice à deux entrées : le type de donnée et le type d'usage. Chaque cellule donne le verdict : autorisé, autorisé avec validation, interdit.

Matrice de décision d'usage IA type de donnée (publique, interne non sensible, client non nominatif, personnelle, stratégique) vs type de tâche (rédaction/synthèse, brainstorm/veille, décision/outputs client), avec codes autorisé en vert, validation en orange, interdit en rouge.
La matrice qui tient sur une page

Adapter les lignes/colonnes à votre secteur. Règle : au doute, consulter le référent IA.

Section 5 — Contenu généré, étiquetage, responsabilité

L'AI Act impose l'étiquetage de tout contenu synthétique diffusé publiquement. À traduire dans la charte : quels livrables portent la mention « contenu généré par IA », qui valide avant diffusion externe, qui porte la responsabilité finale. Principe : le collaborateur qui signe le livrable engage sa responsabilité, pas l'outil.

Section 6 — Formation

Plan de formation obligatoire : 1 module d'onboarding à l'arrivée + 1 session trimestrielle de 45 minutes sur les cas concrets récents (Samsung, Vercel, etc.). Le CSE est consulté sur le plan. Le budget formation est précisé (OPCO ou interne).

Section 7 — Sanction et révision

Qui fait quoi en cas de manquement. Typologie graduée : rappel à l'ordre, recadrage, procédure disciplinaire pour les fautes répétées. Révision semestrielle de la charte par la direction et le CSE. Version et date clairement indiquées.

4. Le modèle copiable

Conditions d'utilisation Ce modèle est une base de travail, pas un document prêt-à-signer. Vous devez l'adapter à votre secteur, vos outils réels, votre convention collective. Consultation CSE indispensable avant diffusion.

CHARTE D'USAGE DE L'INTELLIGENCE ARTIFICIELLE

Version 1.0 — applicable au [DATE] — révision semestrielle

1. Intention

[NOM ENTREPRISE] utilise l'IA comme outil de productivité. Elle ne remplace pas la décision humaine et n'entre pas dans les relations engageantes avec clients, partenaires et collaborateurs. Cette charte traduit ce principe en règles pratiques.

2. Périmètre

Cette charte s'applique à tout salarié, stagiaire, apprenti et prestataire externe ayant accès aux systèmes de [NOM ENTREPRISE]. Est qualifié d'IA tout outil basé sur des modèles génératifs (LLM, image, vidéo, voix) ou agentiques (automation adaptative).

3. Outils autorisés

Seuls les outils suivants sont autorisés : • Claude Team Enterprise (data-no-training) • ChatGPT Enterprise (data-no-training) • Microsoft Copilot Enterprise • [outils spécifiques] Tout nouvel outil doit être validé par [RÉFÉRENT] avant usage professionnel.

4. Zones d'usage (voir matrice annexée)

• Autorisé : contenus publics, internes non sensibles, brainstorming • Avec validation manager : outputs clients, données non nominatives • Interdit : données personnelles, IP brevetée, décisions RH individuelles

5. Étiquetage et responsabilité

Tout livrable externe partiellement ou totalement généré par IA doit être validé par son auteur humain avant diffusion. Les publications marketing générées par IA portent la mention « contenu assisté par IA ». La responsabilité de chaque livrable incombe à la personne qui le signe.

6. Formation

Un module d'onboarding IA est dispensé à chaque nouvel arrivant. Des sessions trimestrielles de 45 minutes abordent les cas réels récents et les évolutions de la charte. Le plan est présenté au CSE.

7. Sanctions et révision

Tout manquement donne lieu à un rappel à l'ordre écrit. La répétition peut déclencher une procédure disciplinaire. La charte est révisée tous les six mois par la direction et le CSE. [DATE PROCHAINE RÉVISION]

Signatures

[NOM] — Directeur / Président / Gérant [NOM] — Représentant du CSE (ou défault : information au CSE en date du...)

5. Les cinq erreurs classiques à éviter

Erreur 1 — La charte juridique de 40 pages. Personne ne la lit, personne ne l'applique. Deux pages maximum. Les annexes techniques (liste des outils, matrice, contacts) peuvent être mises à jour sans modifier la charte elle-même.

Erreur 2 — L'interdiction générale. « L'IA est interdite sauf autorisation exceptionnelle » produit du Shadow AI, pas de la conformité. Préférer l'autorisation cadrée qui sert également d'incitation à utiliser les outils officiels.

Erreur 3 — L'oubli du CSE. La consultation préalable est obligatoire. Beaucoup de chartes sont diffusées par la direction sans passage CSE : elles sont techniquement illicites et contestables. Le coût d'un délit d'entrave dépasse largement celui d'une réunion CSE.

Erreur 4 — L'absence de référent. Une charte sans interlocuteur de rattachement est une charte morte. Désigner un référent IA interne (ou un prestataire externe) joignable pour les cas litigieux.

Erreur 5 — La charte figée. Les outils changent tous les trois mois, les modèles évoluent, la réglementation se précise. Révision tous les six mois n'est pas un luxe, c'est la condition de validité opérationnelle.

6. Processus d'adoption recommandé

  1. Rédaction initiale par la direction (2 demi-journées avec le modèle ci-dessus)
  2. Consultation du référent juridique ou CNIL interne (vérification AIPD requise ou non)
  3. Présentation au CSE avec délai d'examen conforme (au moins 1 mois avant signature)
  4. Retours et ajustements
  5. Signature direction + CSE + diffusion par email signé par le dirigeant
  6. Onboarding immédiat : 45 minutes de présentation aux équipes
  7. Archivage de l'accusé de lecture (signature électronique ou registre)

Durée totale réaliste : 6 à 10 semaines entre la première rédaction et la diffusion effective. C'est normal. C'est aussi ce qui fait qu'une charte tient.

7. Ce que votre charte doit permettre à vos équipes de faire

Une charte bien faite n'est pas restrictive, elle est libératrice. Elle débloque l'usage en clarifiant le périmètre. Quand vos collaborateurs savent précisément ce qui est autorisé, ils utilisent l'outil sans hésitation et sans culpabilité. Ils passent plus de temps sur la valeur, moins de temps sur la gestion du risque individuel.

Mesure concrète : dans les entreprises ayant mis en place une charte opérationnelle en 2025, le ratio d'usage d'outils officiels vs Shadow AI est passé en moyenne de 35 % à 82 % en six mois (voir notre article sur le Shadow AI).

Conclusion

Une charte IA n'est pas un document compliance destiné à protéger les avocats de l'entreprise. C'est un outil de productivité qui transforme un usage flou et risqué en cadre clair et productif. Les PME qui retardent encore la rédaction se préparent à payer deux fois : une fois en risque réglementaire, une fois en Shadow AI non contrôlé.

Le modèle en sept sections tient sur deux pages et couvre 80 % des situations d'une PME française en 2026. Vous pouvez le rédiger en deux demi-journées, le faire valider par le CSE en un mois, et avoir votre charte opérationnelle avant l'été. La condition : commencer maintenant, pas après le premier incident.