Charte IA, gouvernance, conformité RGPD et AI Act

Reprenez le contrôle des usages IA dans votre entreprise.

Arkane cartographie vos usages, qualifie vos risques et rédige votre charte IA. Vous êtes prêt à démontrer votre maîtrise face à un contrôle CNIL, un audit client ou un incident.

Échanger 30 minutes Voir notre méthode
AI Act
Applicable depuis 02/2025
Méthode
15 à 25 jours
Portée
France, tous secteurs
Mains signant un document, illustration de l'engagement formel à une charte IA
Engagement formel
Constat

Pourquoi la gouvernance IA ne peut plus attendre

L'IA est entrée dans votre entreprise avant votre charte. Les usages se multiplient sans cadre, dans toutes les directions, sans supervision. Voici les six risques qui s'installent dès les premiers mois.

01

Des usages non cartographiés

Chaque service teste son propre outil IA. Personne ne tient la liste. Vous ne savez pas combien d'outils tournent, sur quelles données, avec quelles conditions contractuelles.

02

Des données sensibles dans les prompts

Extraits de contrats, emails clients, données RH, dossiers médicaux ou financiers : les collaborateurs alimentent les IA avec le matériau confidentiel, le plus souvent sans intention de nuire.

03

Des productions IA non relues

Notes de synthèse, réponses clients, analyses financières, décisions de recrutement : l'IA produit vite, les relectures humaines disparaissent. L'erreur ou le biais passe en production.

04

Une dépendance fournisseur croissante

Modèles fermés, API externalisées, coûts qui dérivent, clauses DPA signées en diagonale. L'IA concentre un risque juridique et opérationnel chez un petit nombre de prestataires, souvent hors UE.

05

Un flou sur les responsabilités

Qui décide d'un nouveau cas d'usage ? Qui homologue l'outil ? Qui gère l'incident ? Qui forme les équipes ? Les obligations tombent dans les interstices entre DSI, DPO, RSSI et métiers.

06

Une obligation réglementaire activée

L'AI Act impose depuis le 2 février 2025 une obligation d'AI literacy pour tout déployeur de systèmes IA. Le RGPD s'applique pleinement aux traitements IA. Vos obligations courent déjà.

Dispositif

Ce que couvre réellement une charte IA

Une charte IA ne se limite pas à "autoriser ou interdire ChatGPT". Elle cadre dix composantes qui s'imbriquent dans vos processus RGPD, sécurité, RH, achats et direction. Voici la structure que nous déployons.

01
Finalités autorisées
Rédaction interne, analyse, support, aide à la décision. La charte nomme les finalités légitimes et écarte les autres.
02
Cas d'usage interdits ou sensibles
Traitements biométriques, scoring salarié, décisions RH automatisées, données de santé, secret des affaires en clair.
03
Règles d'entrée des données
Catégories admises, anonymisations imposées, interdictions absolues sur les données sensibles et clients nominatives.
04
Validation humaine
Quels livrables produits par IA passent une relecture humaine obligatoire avant usage externe ou décisionnel.
05
Homologation des outils
Critères de sélection, critères de sécurité, vérification du DPA, validation croisée DPO, RSSI et juridique avant mise en service.
06
Journalisation et traçabilité
Quels usages sont journalisés, où, combien de temps, qui y accède. Essentiel pour démontrer la maîtrise en contrôle.
07
Rôles et responsabilités
Qui pilote, qui valide, qui contrôle, qui forme, qui gère les incidents. Cartographie RACI dédiée IA.
08
Formation des utilisateurs
Plan de sensibilisation par profil. Preuves d'acquisition tracées, conformément à l'art. 4 AI Act (AI literacy).
09
Gestion des incidents
Procédure d'incident IA distincte, articulée avec l'incident SSI et la violation RGPD. Trames de qualification.
10
Revue périodique
Revue trimestrielle ou semestrielle pour intégrer nouveaux outils, nouvelles obligations, incidents et retours terrain.
Méthode

Notre méthode, en 6 étapes

De la cartographie initiale au déploiement interne, Arkane structure votre gouvernance IA en 15 à 25 jours. Chaque étape produit un livrable exploitable, chaque livrable passe en comité de validation avec vos équipes.

Étape 01
Cartographie des usages
2 à 4 jours
Usages IA existants et projetés, service par service, outils officiels et shadow IT.
Étape 02
Qualification des risques
2 à 3 jours
Risques juridiques, réputationnels, opérationnels, sécurité. Typologie des données manipulées.
Étape 03
Revue croisée
3 à 5 jours
Écarts par rapport à RGPD, AI Act, NIS 2. Revue des contrats fournisseurs et du registre.
Étape 04
Rédaction charte
4 à 7 jours
Charte IA, matrice usages, politique outils génératifs, DPA type IA, registre IA.
Étape 05
Circuit de validation
2 à 3 jours
Homologation outil, procédure incident, RACI dédié, intégration avec vos workflows.
Étape 06
Sensibilisation
2 à 3 jours
Déploiement comité de direction et managers. Preuves de participation documentées (AI literacy).
SemaineÉtapeJours
S1Cartographie + Qualification4 à 7
S2Revue croisée3 à 5
S3Rédaction charte + annexes4 à 7
S4Circuit + Déploiement4 à 6
Total6 étapes15 à 25 jours
Livrables

Ce que vous recevez concrètement

Chaque mission produit un ensemble de livrables documentés, prêts à passer en comité, à publier en interne ou à présenter à une autorité.

01
Inclus
Charte IA entreprise
Document cadre de 15 à 25 pages. Finalités, principes, règles d'usage, rôles et responsabilités, gouvernance.
02
Inclus
Politique d'usage IA générative
Règles par type d'outil : LLM publics, LLM entreprise, copilotes intégrés, modèles open source hébergés.
03
Inclus
Matrice usages autorisés
Tableau par cas d'usage et par type de données. Conditions explicitées sur la colonne "sous conditions".
04
Inclus
Procédure homologation outil
Formulaire de demande, grille d'instruction DPO/RSSI/juridique, critères d'arbitrage, trame de décision.
05
Inclus
Procédure incident IA
Arbre de qualification, matrice de notification CNIL, trames de communication adaptées aux incidents IA.
06
Inclus
DPA type IA
Contrat de sous-traitance IA avec clauses dédiées : prompts, embeddings, transferts, audits, sortie.
07
Inclus
Registre des traitements IA
Extrait du registre RGPD dédié IA, conforme art. 30 RGPD, prêt à présenter en cas de contrôle CNIL.
08
Inclus
Kit de sensibilisation
Supports managers, collaborateurs, quiz, attestations. Preuves AI literacy documentées (art. 4 AI Act).
Conformité

RGPD et AI Act, ce que votre entreprise doit démontrer

Deux cadres réglementaires, complémentaires. Arkane les couvre ensemble et documente l'articulation.

RGPD appliqué à l'IA

Le RGPD ne disparaît pas parce qu'on parle d'IA. Il s'applique pleinement aux traitements utilisant des systèmes d'IA, et la CNIL l'a explicitement rappelé en 2024-2025.

  • Finalité et base légale
    Chaque usage IA repose sur une finalité explicite et une base légale identifiée, documentées par Arkane.
  • Minimisation
    Les prompts sont filtrés pour ne transmettre que les données strictement nécessaires.
  • Registre des traitements
    Le registre (art. 30 RGPD) intègre un volet IA dédié, trame et contenu fournis.
  • AIPD
    Requise pour les traitements IA à risque élevé. Nous produisons les AIPD nécessaires.
  • Information et droits des personnes
    Accès, rectification, effacement, opposition, y compris sur les modèles entraînés.
  • Sous-traitance fournisseurs
    Qualification art. 28 RGPD, DPA négocié, audit des CGU, vérification réutilisation des prompts.
  • Transferts hors UE
    DPF, CCT, règles internes, TIA post-Schrems II. Identifiés contrat par contrat.
  • Sécurité et violations
    Art. 32 RGPD, notification CNIL sous 72h (art. 33), information des personnes (art. 34).
Faire auditer mes traitements IA

AI Act, ce que votre entreprise doit faire et quand

L'AI Act (règlement UE 2024/1689) crée un cadre obligatoire pour tout fournisseur ou déployeur de systèmes IA dans l'Union européenne. Son application est échelonnée de 2025 à 2027.

DateObligations entrant en vigueur
2 février 2025Pratiques IA interdites (art. 5), obligation d'AI literacy (art. 4)
2 août 2025Obligations pour les modèles d'IA à usage général (GPAI)
2 août 2026Applicabilité large du règlement, dont systèmes haut risque de l'annexe III
2 août 2027Systèmes haut risque intégrés à des produits déjà régulés (annexe I)
  • Classifier les systèmes par niveau de risque
    Interdits, haut risque, soumis à transparence, risque minimal. Cartographie usage par usage.
  • Assurer l'AI literacy
    Art. 4, applicable depuis 02/2025. Plan de formation, supports par profil, preuves de participation.
  • Produire les FRIA
    Art. 27. Impact sur les droits fondamentaux, obligatoire pour certains déployeurs haut risque.
  • Respecter la transparence
    Chatbots identifiés, contenus synthétiques marqués comme tels. Articulation à cadrer dans la charte.
  • Documenter votre positionnement
    Fournisseur, déployeur, importateur, distributeur. Qualification contrat par contrat.
Cadrer mes obligations AI Act
Gouvernance

Une gouvernance transverse, huit rôles à mobiliser

La gouvernance IA ne se porte ni par la DSI seule, ni par le juridique seul. Elle se construit en comité, avec des rôles clairement attribués.

Direction générale
Décision et arbitrage
Valide les finalités stratégiques, arbitre les risques résiduels, porte la gouvernance devant le comité exécutif.
Juridique et Compliance
Qualification et veille
Qualifie les systèmes au regard de l'AI Act et du RGPD, pilote la veille, rédige les clauses contractuelles.
DPO
Protection des données
Tient le registre des traitements IA, produit les AIPD, arbitre les droits, dialogue avec la CNIL.
RSSI
Sécurité et homologation
Définit les exigences de sécurité, homologue les outils, pilote la gestion des incidents IA.
DSI et IT
Outils et accès
Déploie techniquement les solutions homologuées, gère les accès, maintient logs et traçabilité.
Ressources humaines
Usages internes et formation
Encadre les usages RH (recrutement, évaluation), déploie le plan de sensibilisation et l'AI literacy.
Métiers utilisateurs
Cas d'usage et terrain
Remontent les besoins, testent les outils, signalent les incidents et alimentent la matrice des usages.
Direction des achats
Fournisseurs et contrats
Négocie les DPA spécifiques IA, vérifie les transferts hors UE, pilote la sortie contractuelle.
Cyrille Cardonne, fondateur Arkane
IHEMI INSEAD AFNOR Cercle K2 CRSI IACFI
Qui est Arkane

L'IA est un risque de dirigeant, pas un dossier technique.

Cyrille Cardonne
Fondateur Arkane, ancien des forces spéciales

Arkane traite l'IA comme elle traite la crise. Avec la même exigence de cadrage, la même discipline de décision, la même rigueur d'exécution. Notre fondateur, Cyrille Cardonne, est certifié IHEMI (Institut des Hautes Études du Ministère de l'Intérieur), titulaire du certificat Leadership in the Crisis de l'INSEAD, membre du Cercle K2, du CRSI, cofondateur de l'IACFI, ancien officier de la Légion Étrangère Parachutiste.

Arkane travaille avec les directions générales, les juridiques, les DPO et les RSSI de grandes entreprises, ETI et collectivités. Nous nous intégrons à vos cabinets d'avocats et à vos plateformes SaaS existantes, nous ne les remplaçons pas. Notre valeur : traduire les obligations réglementaires en décisions opérationnelles, documentées, opposables en interne et démontrables face à une autorité.

Échanger avec Arkane
FAQ

Les questions que se posent DPO, RSSI et directions juridiques

Les réponses techniques aux questions qui remontent en comité de conformité. Revue juridique effectuée, mise à jour trimestrielle.

Aucun texte n'impose nommément un document intitulé charte IA. En revanche, l'AI Act (règlement UE 2024/1689) et le RGPD imposent déjà des obligations concrètes : AI literacy (art. 4 AI Act, applicable depuis le 2 février 2025), tenue du registre des traitements, évaluation d'impact pour les traitements à risque élevé, encadrement contractuel des sous-traitants, information des personnes concernées. Une charte IA est le véhicule le plus efficace pour matérialiser ces obligations à l'échelle de l'organisation, les rendre opposables en interne et les démontrer en cas de contrôle.
L'annexe III de l'AI Act liste les usages qualifiés haut risque : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, maintien de l'ordre, migration, administration de la justice. Ces systèmes sont soumis à des obligations renforcées : gestion des risques, qualité des données, documentation technique, transparence, supervision humaine, robustesse et cybersécurité. L'identification passe par une cartographie usage par usage, croisée avec votre matrice d'activité. Arkane livre cette cartographie comme premier livrable de sa méthode.
Non, mais plus souvent qu'on ne le pense. L'AIPD est exigée lorsque le traitement présente un risque élevé pour les droits et libertés des personnes. La CNIL considère que de nombreux usages IA tombent dans ce cas, notamment l'entraînement sur données personnelles à grande échelle, les traitements biométriques, le profilage à effets significatifs, ou l'usage de données sensibles. Un outil IA bureautique sans traitement de données personnelles peut s'en dispenser. Le tri se fait à l'occasion de la cartographie, avec décision documentée pour chaque usage.
L'AIPD regarde les risques sur les droits et libertés liés à la protection des données personnelles. La FRIA regarde plus largement les risques sur les droits fondamentaux : dignité, non-discrimination, vie privée, liberté d'expression, accès aux services. Elle est exigée pour certains déployeurs de systèmes IA haut risque, notamment les organismes publics et certains acteurs privés. Les deux analyses se complètent avec des recouvrements importants. Notre charte documente l'articulation et fournit les trames d'AIPD et de FRIA correspondantes.
La qualification dépend du contrat signé et du paramétrage. Sur une offre entreprise avec DPA négocié et engagement de non-réutilisation des prompts pour l'entraînement, le fournisseur agit comme sous-traitant au sens de l'art. 28 RGPD. Sur l'offre grand public gratuite, le fournisseur se comporte comme responsable de traitement pour ses propres finalités, ce qui rend l'usage professionnel très exposé. La qualification doit être faite contrat par contrat, revue à chaque renouvellement, et complétée d'un TIA (transfer impact assessment) si le fournisseur est hors UE. Arkane fournit une grille d'analyse des fournisseurs IA dans ses livrables.
Dès lors qu'un prompt contient, directement ou indirectement, des données permettant d'identifier une personne (nom de salarié, email client, extrait de contrat, fragment de dossier RH ou médical), la réponse est oui. C'est un traitement à part entière, qui doit figurer dans votre registre, être fondé sur une base légale, et respecter les principes de finalité, minimisation, exactitude, conservation limitée, sécurité. La plupart des entreprises ont déjà, sans le savoir, constitué des traitements IA massifs via l'usage individuel de ChatGPT par leurs salariés. C'est précisément ce que la charte IA vient cadrer.
Oui. L'art. 4 de l'AI Act, applicable depuis le 2 février 2025, impose à tout fournisseur et déployeur de systèmes IA de prendre des mesures pour assurer un niveau suffisant de compréhension de l'IA parmi les personnels concernés, en tenant compte de leurs connaissances, de leur expérience, du contexte d'usage et des destinataires. La documentation se fait via un plan de formation, des supports adaptés par profil, et des preuves de participation (attestations, LMS, émargements). Notre charte IA intègre un kit de sensibilisation modulable, prêt à déployer.
C'est un incident à traiter comme une fuite potentielle de données, pas comme une faute disciplinaire isolée. La procédure type : identifier l'outil et le compte utilisé, qualifier la nature des données ayant transité, vérifier si le fournisseur réutilise les entrées, évaluer l'impact RGPD, notifier la CNIL sous 72 heures si l'art. 33 RGPD s'applique, informer les personnes concernées si l'art. 34 s'applique, documenter l'incident dans le registre des violations. Notre charte IA inclut la procédure d'incident IA complète et les trames de qualification.
Question délicate, à trancher contrat par contrat. Les embeddings peuvent contenir, de manière indirecte mais reconstituable, des données personnelles issues des jeux d'entraînement. Ils doivent donc être traités comme des données personnelles au sens du RGPD, conformément à la position du CEPD dans son avis 28/2024. À la fin du contrat, prévoir la suppression vérifiable par le fournisseur, la documentation de la migration ou destruction, et l'interrogation du besoin de conserver des copies internes. Les CGU grand public des fournisseurs ne couvrent pas ces hypothèses, d'où l'importance d'un DPA dédié IA.
Trois documents distincts, articulés. La politique SSI traite la sécurité des SI. La politique RGPD traite la protection des données personnelles. La charte IA traite les usages spécifiques de l'IA, ses risques propres (hallucinations, biais, opacité, dépendance fournisseur) et organise la gouvernance humaine (validation, homologation, formation, incidents). Elle s'appuie sur les deux premières et les complète sans les dupliquer. Arkane cartographie les renvois pour éviter doublons et trous de couverture.
Échanger

Cadrons vos usages IA ensemble

Un échange de 30 minutes pour évaluer votre exposition, identifier vos priorités et décider si une mission de cadrage est pertinente. Sans engagement, sans jargon, sans diapositive commerciale.

Arkane accompagne les directions françaises sur trois formats : audit express (5 jours), cadrage et charte IA (15 à 25 jours), accompagnement déploiement (forfait trimestriel). Nous définissons ensemble le format le plus adapté à votre maturité et à vos priorités.

  • Réponse sous 24 heures ouvrées
  • Échange confidentiel, sans engagement
  • Cadré par notre politique de confidentialité
  • Disponible par visioconférence ou en présentiel
Réponse sous 24h · Confidentiel · Sans engagement