# Arkane Risk, charte IA et gouvernance opérationnelle > Cabinet français de gouvernance IA. Arkane cadre, documente et rend opérationnelle votre politique d'usage de l'intelligence artificielle. Conformité RGPD, AI Act (règlement UE 2024/1689), ISO/IEC 42001. Présence à Paris, Strasbourg, Annecy, Valence et Genève. Ce site sert les directions juridiques, DPO, RSSI, Compliance Officers et DSI confrontés à la généralisation des usages IA en entreprise (ChatGPT Enterprise, Copilot Microsoft 365, Gemini for Workspace, outils IA sectoriels). Arkane structure leur gouvernance IA en 15 à 25 jours et leur livre une charte IA opposable, un registre dédié, des procédures d'homologation et d'incident, et un kit AI literacy conforme à l'article 4 de l'AI Act. ## Page pilier - [Charte IA entreprise, gouvernance opérationnelle](https://charte-ia.arkanerisk.com/) : pourquoi une charte IA est devenue nécessaire, ce qu'elle couvre (10 composantes), méthode Arkane en 6 étapes, livrables, articulation RGPD et AI Act, FAQ technique pour DPO et RSSI ## Pages locales (SEO local France et Suisse) - [Charte IA Paris, Île-de-France](https://charte-ia.arkanerisk.com/charte-ia-paris) : groupes et ETI franciliens, finance, assurance, LegalTech, conseil, media, coordination avec contrôles CNIL parisiens - [Charte IA Strasbourg, Alsace](https://charte-ia.arkanerisk.com/charte-ia-strasbourg) : siège social Arkane, organisations alsaciennes, institutions européennes, coordination FR/DE en protection des données - [Charte IA Annecy, Haute-Savoie](https://charte-ia.arkanerisk.com/charte-ia-annecy) : industriels alpins, ETI mécatronique, sociétés transfrontalières France-Suisse, articulation RGPD et FADP - [Charte IA Valence, Drôme-Ardèche](https://charte-ia.arkanerisk.com/charte-ia-valence) : PME et ETI logistique et industrie en Auvergne-Rhône-Alpes - [Charte IA Genève, Suisse romande](https://charte-ia.arkanerisk.com/charte-ia-geneve) : banque privée, fintech, multinationales, articulation FADP / RGPD / AI Act ## Méthode Arkane, 6 étapes (15 à 25 jours) 1. Cartographie des usages (2 à 4 jours) 2. Qualification des risques (2 à 3 jours) 3. Revue croisée RGPD / AI Act / NIS 2 (3 à 5 jours) 4. Rédaction charte et annexes (4 à 7 jours) 5. Circuit de validation (homologation, incident, RACI) (2 à 3 jours) 6. Sensibilisation et AI literacy (2 à 3 jours) ## Livrables Arkane - Charte IA entreprise (document cadre 15 à 25 pages) - Politique d'usage IA générative (LLM publics, entreprise, copilotes) - Matrice usages autorisés - Procédure homologation outil IA - Procédure incident IA (notification CNIL article 33) - DPA type IA (prompts, embeddings, transferts, audits) - Registre des traitements IA (article 30 RGPD) - Kit AI literacy (article 4 AI Act) ## Référentiels cités - [AI Act, règlement UE 2024/1689 (EUR-Lex)](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689) - [RGPD, règlement UE 2016/679 (EUR-Lex)](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679) - [CNIL, dossier Intelligence artificielle](https://www.cnil.fr/fr/intelligence-artificielle) - [CNIL, recommandations IA 2024-2025](https://www.cnil.fr/fr/ia-comment-etre-en-conformite-avec-le-rgpd) - [CEPD / EDPB, Opinion 28/2024 sur les modèles d'IA](https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en) - [ISO/IEC 42001, système de management de l'IA](https://www.iso.org/standard/81230.html) - [ISO/IEC 23894, gestion des risques IA](https://www.iso.org/standard/77304.html) - [NIST AI Risk Management Framework](https://www.nist.gov/itl/ai-risk-management-framework) - [NIS 2, directive UE 2022/2555](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022L2555) - [DORA, règlement UE 2022/2554](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022R2554) ## FAQ technique sélectionnée Voir [FAQ complète sur le site](https://charte-ia.arkanerisk.com/#faq). - Une charte IA est-elle juridiquement obligatoire ? Non. Mais l'AI Act et le RGPD imposent des obligations concrètes (AI literacy article 4, registre, AIPD, encadrement contractuel) qu'une charte permet de matérialiser, rendre opposables en interne et démontrer en cas de contrôle. - Quels systèmes IA tombent sous le régime haut risque de l'AI Act ? Annexe III : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, maintien de l'ordre, migration, administration de la justice. - AIPD ou FRIA ? L'AIPD couvre les risques sur les données personnelles (RGPD). La FRIA (article 27 AI Act) couvre plus largement les droits fondamentaux et est exigée pour certains déployeurs haut risque. - Qualification fournisseur IA (OpenAI, Anthropic, Mistral) ? Sous-traitant article 28 RGPD si offre entreprise avec DPA et non-réutilisation des prompts. Responsable de traitement si offre grand public. Doit être qualifié contrat par contrat. - AI literacy article 4 AI Act : applicable depuis le 2 février 2025 à tout fournisseur et déployeur de systèmes IA dans l'UE. ## Personne de référence Cyrille Cardonne, fondateur Arkane Risk. Certifié IHEMI (Institut des Hautes Études du Ministère de l'Intérieur). INSEAD, Leadership in the Crisis. Membre Cercle K2, CRSI. Cofondateur IACFI. Ancien officier de la Légion Étrangère Parachutiste. ## Contact - Email : contact@arkanerisk.com - Site groupe : https://www.arkanerisk.com - LinkedIn : https://www.linkedin.com/company/arkane-risk - Autre expertise du groupe : [gestion de crise](https://strasbourg.arkanerisk.com/) ## Optional - [Mentions légales](https://charte-ia.arkanerisk.com/mentions-legales) - [Politique de confidentialité](https://charte-ia.arkanerisk.com/confidentialite) - [Sitemap XML](https://charte-ia.arkanerisk.com/sitemap.xml) - [Endpoint AI summary JSON](https://charte-ia.arkanerisk.com/ai/summary.json) - [Endpoint AI FAQ JSON](https://charte-ia.arkanerisk.com/ai/faq.json)