Charte et gouvernance IA : ce que le droit exige vraiment

Écrit par Emmanuelle Gourbin

Charte IA, gouvernance IA, comités, référents… Face à la montée en puissance de l'intelligence artificielle, beaucoup d’entreprises ont le sentiment qu’il faudrait tout formaliser très vite.

Pourtant, le véritable enjeu n’est pas d’accumuler des dispositifs, mais de comprendre ce que le droit exige réellement et ce dont l’entreprise — PME comme ETI — a réellement besoin.

En bref, ce qu’il faut retenir

  • Aucune obligation légale n’impose aujourd’hui d’adopter une charte IA ou une gouvernance IA formelle.

  •  Le droit raisonne en termes d’usages et de risques, pas en documents.

  •  Une charte n’est opposable que si l’entreprise lui donne une valeur normative (règlement intérieur, clauses contractuelles). 

  • Pour une PME ou une ETI : la priorité est à la clarté, la cohérence plutôt qu’à la complexité.

Une obligation qui n’existe pas… mais que beaucoup croient réelle

Depuis l’adoption du règlement européen sur l’intelligence artificielle (AI Act) en 2024, un discours s’est installé : les entreprises devraient impérativement se doter d’une charte IA et structurer une gouvernance dédiée.

Mais en réalité, aucun texte n’impose aujourd’hui aux entreprises d’adopter une charte IA, ni de créer un comité IA formel. Les textes ne prescrivent pas la rédaction d’une charte, mais encadrent des situations concrètes : traitement de données, discrimination, sécurité des systèmes — autant de domaines où la responsabilité de l’entreprise peut être engagée.

Les obligations les plus lourdes de l'AI Act, qui entrent en application progressivement entre 2025 et 2027, concerneront les systèmes à haut risque — autrement dit, des IA utilisées dans des situations où une erreur peut avoir des conséquences majeures sur des personnes ou sur la sécurité (par exemple lorsqu'elles influencent une décision d'embauche, d'éligibilité à un service, ou qu'elles reposent sur de la biométrie) — et non les usages bureautiques courants.

En revanche, l’AI Act impose déjà à toutes les entreprises de s’assurer d’un niveau suffisant de « maîtrise de l’IA » chez les personnes qui utilisent ou supervisent des systèmes d’IA.

Là encore, aucune charte n’est exigée — mais une démarche concrète de sensibilisation et de formation devient incontournable. 

Autrement dit, l’enjeu est moins la conformité « sur le papier » que la capacité à démontrer un contrôle : qui utilise quoi, pour quels cas, avec quelles règles, et quels garde-fous.

 C’est précisément là que la charte peut être utile — si l’on sait ce que l’on veut en faire.

La charte IA : conditions et limites d'un outil

Une charte IA peut être utile à condition d’avoir un objectif clair : mettre de l’ordre dans les usages.

Elle sert d’abord à délimiter ce qui est autorisé et ce qui ne l’est pas, à sensibiliser les équipes aux risques (données, discrimination, sécurité, fuite d’informations) et à poser quelques lignes rouges non négociables.

En revanche, une charte n’est jamais une garantie automatique de conformité : elle ne vaut que si elle est traduite en pratiques (règles d’outillage, processus de validation pour les cas sensibles, responsabilités identifiées, traçabilité minimale) et mise à jour au rythme des usages et des textes.

Il y a un point décisif : quel niveau d’opposabilité veut-on donner à la charte ? 

Par défaut, une charte IA n’est pas juridiquement contraignante : la publier sur l’intranet ou la faire signer “pour information” ne suffit pas.

Pour qu’elle produise des effets, elle doit être adossée à un support approprié :

- côté salariés, c’est via le règlement intérieur (obligatoire à partir de 50 salariés);

- côté partenaires et prestataires, c’est via une intégration au contrat.

À défaut, la charte reste un document d’orientation, sans valeur disciplinaire ni portée réelle en cas d’incident.

*Intégrer une charte IA au règlement intérieur : mode d’emploi*

Si vous voulez que la charte serve réellement de référence interne (et puisse justifier une sanction), il faut la rendre opposable et respecter un formalisme précis :

- Décider formellement de son caractère obligatoire.
- Intégrer ou annexer la charte au règlement intérieur.
- Consulter le CSE (avis consultatif obligatoire).
- Procéder aux formalités légales de dépôt et transmission.
- Diffuser le document aux salariés.
Sans ces étapes, la charte ne pourra pas justifier une sanction disciplinaire.

En effet, un licenciement fondé sur la violation d'une charte non intégrée au règlement intérieur serait considéré comme sans cause réelle et sérieuse par le juge prud'homal.

En revanche, si la procédure est respectée, l'employeur peut sanctionner les violations selon l'échelle disciplinaire habituelle : avertissement, mise à pied, voire licenciement pour faute grave en cas de manquement sérieux (comme le traitement de données sensibles via une IA générative en violation explicite de la charte). 

Gouvernance et responsabilité : organiser des usages maîtrisés

Avant même de parler d’outils ou de chartes, il faut garder en tête un principe simple : l’IA peut assister, mais elle ne porte jamais la responsabilité.  

La responsabilité humaine ne consiste pas à cliquer sur « valider », mais à exercer un contrôle critique et assumé.

Cette exigence est très concrète : l’IA n’a pas de personnalité juridique. Elle ne peut ni être sanctionnée ni être poursuivie.

En pratique, si une IA génère un contenu diffamatoire publié par l’entreprise, la responsabilité retombe sur l’entreprise et sur la personne qui a validé la publication. Si un outil de recrutement fondé sur l’IA discrimine des candidats, c’est l’employeur qui sera mis en cause, et si un outil comptable assisté par IA génère une erreur ayant des conséquences fiscales, l’entreprise en répondra devant l’administration.

Autrement dit, maintenir la responsabilité humaine implique qu’une personne valide les décisions importantes et en assume réellement les conséquences — et que l’entreprise mette en place un cadre qui rende cette validation réelle et traçable.

Dès lors, une charte sans gouvernance reste déclarative — et une gouvernance sans charte manque de lisibilité. Les deux ne s’opposent pas, elles se complètent et doivent être pensées ensemble.

La charte peut jouer un rôle pédagogique et poser des lignes directrices ; la gouvernance organise la maîtrise au quotidien, même de façon légère et évolutive. Le vrai sujet n’est pas le mot utilisé, mais le degré d’engagement que l’entreprise est prête à assumer — et sa capacité à le traduire en pratiques.

*TPE/PME : une gouvernance proportionnée*

Dans une TPE ou une PME, l’objectif n’est pas de créer un comité de plus, mais de sécuriser les usages essentiels avec quelques mesures simples.

Une gouvernance IA « proportionnée » peut reposer sur trois actions :

D’abord, cartographier les outils réellement utilisés, y compris ceux adoptés de manière informelle.

Ensuite, encadrer strictement l’usage des données sensibles (données de santé, données RH confidentielles, informations financières personnelles, secrets d’affaires).

Enfin, organiser une validation humaine effective des décisions assistées par l’IA : l’IA peut suggérer, analyser ou rédiger, mais c’est toujours un humain identifiable qui arbitre, valide et assume la décision.

Conclusion : La lucidité avant la conformité

Charte IA et gouvernance IA ne sont ni des obligations légales, ni des totems de conformité.

Ce sont des outils à manier avec discernement.
Avant d’écrire une charte ou de créer un comité, une entreprise devrait commencer par cartographier ses usages réels, identifier ses risques, et accepter d’en assumer les conséquences.
La maturité ne se mesure pas au nombre de documents produits, mais à la cohérence entre usages, règles et responsabilité assumée.

Vos retours sur cet article me sont très précieux : n’hésitez pas à m’écrire pour partager ce qui vous a été utile, ce qui reste à clarifier, ou les sujets que vous souhaiteriez voir abordés dans un prochain article.

Emmanuelle Gourbin
Suivant

ChatGPT Business - promesses et réalité