{
  "$schema": "https://json-schema.org/draft/2020-12/schema",
  "version": "1.0",
  "updated": "2026-05-26",
  "source": "https://charte-ia.arkanerisk.com/#faq",
  "language": "fr",
  "topic": "Gouvernance IA, charte IA, conformité RGPD et AI Act en entreprise",
  "audience": ["DPO", "RSSI", "Compliance Officer", "Direction juridique"],
  "ai_policy": {
    "citation_allowed": true,
    "attribution_required": "Citer Arkane Risk avec lien https://charte-ia.arkanerisk.com/"
  },
  "questions": [
    {
      "id": "charte-ia-obligatoire",
      "question": "Une charte IA est-elle juridiquement obligatoire ?",
      "short_answer": "Aucun texte n'impose nommément un document intitulé charte IA. En revanche, l'AI Act et le RGPD imposent des obligations concrètes que la charte permet de matérialiser et démontrer en cas de contrôle.",
      "long_answer": "Aucun texte n'impose nommément un document intitulé charte IA. En revanche, l'AI Act (règlement UE 2024/1689) et le RGPD imposent déjà des obligations concrètes : AI literacy (art. 4 AI Act, applicable depuis le 2 février 2025), tenue du registre des traitements, évaluation d'impact pour les traitements à risque élevé, encadrement contractuel des sous-traitants, information des personnes concernées. Une charte IA est le véhicule le plus efficace pour matérialiser ces obligations à l'échelle de l'organisation, les rendre opposables en interne et les démontrer en cas de contrôle.",
      "references": [
        "AI Act art. 4, applicable 2025-02-02",
        "RGPD art. 30, registre des traitements"
      ]
    },
    {
      "id": "systemes-haut-risque",
      "question": "Quels systèmes IA tombent sous le régime haut risque de l'AI Act ?",
      "short_answer": "L'annexe III de l'AI Act liste : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, maintien de l'ordre, migration, administration de la justice.",
      "long_answer": "L'annexe III de l'AI Act liste les usages qualifiés haut risque : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, maintien de l'ordre, migration, administration de la justice. Ces systèmes sont soumis à des obligations renforcées : gestion des risques, qualité des données, documentation technique, transparence, supervision humaine, robustesse et cybersécurité. L'identification passe par une cartographie usage par usage, croisée avec votre matrice d'activité.",
      "references": ["AI Act annexe III"]
    },
    {
      "id": "aipd-chaque-outil",
      "question": "Faut-il produire une AIPD pour chaque outil IA déployé ?",
      "short_answer": "Non, mais plus souvent qu'on ne le pense. L'AIPD est exigée lorsque le traitement présente un risque élevé pour les droits et libertés des personnes.",
      "long_answer": "Non, mais plus souvent qu'on ne le pense. L'AIPD est exigée lorsque le traitement présente un risque élevé pour les droits et libertés des personnes. La CNIL considère que de nombreux usages IA tombent dans ce cas, notamment l'entraînement sur données personnelles à grande échelle, les traitements biométriques, le profilage à effets significatifs, ou l'usage de données sensibles. Un outil IA bureautique sans traitement de données personnelles peut s'en dispenser.",
      "references": ["RGPD art. 35", "CNIL, recommandations IA 2024-2025"]
    },
    {
      "id": "aipd-vs-fria",
      "question": "Quelle différence entre AIPD (RGPD) et FRIA (AI Act art. 27) ?",
      "short_answer": "L'AIPD couvre les risques sur les données personnelles. La FRIA couvre plus largement les droits fondamentaux. Les deux se complètent.",
      "long_answer": "L'AIPD regarde les risques sur les droits et libertés liés à la protection des données personnelles. La FRIA (Fundamental Rights Impact Assessment, art. 27 AI Act) regarde plus largement les risques sur les droits fondamentaux : dignité, non-discrimination, vie privée, liberté d'expression. Elle est exigée pour certains déployeurs de systèmes IA haut risque, notamment les organismes publics et certains acteurs privés. Les deux analyses se complètent.",
      "references": ["RGPD art. 35", "AI Act art. 27"]
    },
    {
      "id": "qualification-fournisseurs",
      "question": "Comment qualifier OpenAI, Anthropic, Mistral face au RGPD ?",
      "short_answer": "Sous-traitant art. 28 RGPD si offre entreprise avec DPA et non-réutilisation des prompts. Responsable de traitement si offre grand public. À qualifier contrat par contrat.",
      "long_answer": "La qualification dépend du contrat et du paramétrage. Sur une offre entreprise avec DPA négocié et engagement de non-réutilisation des prompts, le fournisseur agit comme sous-traitant au sens de l'art. 28 RGPD. Sur l'offre grand public gratuite, le fournisseur se comporte comme responsable de traitement pour ses propres finalités, ce qui rend l'usage professionnel très exposé. La qualification doit être faite contrat par contrat, complétée d'un TIA si le fournisseur est hors UE.",
      "references": ["RGPD art. 28", "Schrems II, TIA"]
    },
    {
      "id": "prompts-donnees-personnelles",
      "question": "Les prompts envoyés à ChatGPT constituent-ils un traitement de données personnelles ?",
      "short_answer": "Oui dès qu'un prompt contient directement ou indirectement des données permettant d'identifier une personne. C'est un traitement à part entière à inscrire au registre.",
      "long_answer": "Dès lors qu'un prompt contient, directement ou indirectement, des données permettant d'identifier une personne, la réponse est oui. C'est un traitement à part entière, qui doit figurer dans votre registre, être fondé sur une base légale, et respecter les principes de finalité, minimisation, exactitude, sécurité. La plupart des entreprises ont déjà, sans le savoir, constitué des traitements IA massifs via l'usage individuel de ChatGPT par leurs salariés.",
      "references": ["RGPD art. 30, registre"]
    },
    {
      "id": "ai-literacy-art4",
      "question": "L'obligation d'AI literacy (article 4 AI Act) concerne-t-elle toutes les entreprises ?",
      "short_answer": "Oui. L'art. 4 AI Act, applicable depuis le 2 février 2025, impose à tout fournisseur et déployeur de systèmes IA dans l'UE de former leurs personnels.",
      "long_answer": "Oui. L'art. 4 de l'AI Act, applicable depuis le 2 février 2025, impose à tout fournisseur et déployeur de systèmes IA de prendre des mesures pour assurer un niveau suffisant de compréhension de l'IA parmi les personnels concernés. La documentation se fait via un plan de formation, des supports adaptés par profil, et des preuves de participation.",
      "references": ["AI Act art. 4, applicable 2025-02-02"]
    },
    {
      "id": "incident-collaborateur-non-valide",
      "question": "Que faire si un collaborateur a utilisé un outil IA non validé sur des données sensibles ?",
      "short_answer": "Traiter comme une fuite potentielle de données. Procédure : identifier l'outil, qualifier les données, évaluer l'impact RGPD, notifier la CNIL sous 72h si art. 33 applicable, informer les personnes si art. 34 applicable.",
      "long_answer": "C'est un incident à traiter comme une fuite potentielle de données. La procédure type : identifier l'outil, qualifier les données ayant transité, vérifier si le fournisseur réutilise les entrées, évaluer l'impact RGPD, notifier la CNIL sous 72 heures si l'art. 33 RGPD s'applique, informer les personnes concernées si l'art. 34 s'applique, documenter dans le registre des violations.",
      "references": ["RGPD art. 33", "RGPD art. 34"]
    },
    {
      "id": "embeddings-fin-contrat",
      "question": "Peut-on conserver les embeddings après la fin d'une relation fournisseur IA ?",
      "short_answer": "Question à trancher contrat par contrat. Les embeddings peuvent contenir des données personnelles indirectes (CEPD 28/2024). Prévoir la suppression vérifiable par le fournisseur.",
      "long_answer": "Question délicate, à trancher contrat par contrat. Les embeddings peuvent contenir, de manière indirecte mais reconstituable, des données personnelles. Ils doivent être traités comme tels au sens du RGPD, conformément à l'avis CEPD 28/2024. À la fin du contrat, prévoir la suppression vérifiable par le fournisseur, documenter la migration ou destruction, interroger le besoin de conserver des copies internes.",
      "references": ["CEPD Opinion 28/2024", "RGPD art. 5"]
    },
    {
      "id": "charte-ssi-rgpd-articulation",
      "question": "Quelle articulation entre charte IA, politique SSI et politique RGPD ?",
      "short_answer": "Trois documents distincts, articulés. SSI = sécurité SI. RGPD = données personnelles. Charte IA = usages spécifiques IA, risques propres (hallucinations, biais, opacité) et gouvernance humaine.",
      "long_answer": "Trois documents distincts, articulés. La politique SSI traite la sécurité des SI. La politique RGPD traite la protection des données personnelles. La charte IA traite les usages spécifiques de l'IA, ses risques propres (hallucinations, biais, opacité, dépendance fournisseur) et organise la gouvernance humaine. Elle s'appuie sur les deux premières et les complète sans les dupliquer.",
      "references": ["ISO/IEC 27001", "RGPD", "ISO/IEC 42001"]
    }
  ]
}