TL;DR
- Eurostat 2025 : 17% des petites entreprises de l'UE utilisent l'IA contre 55% des grandes — un écart d'adoption d'un facteur 3
- MIT NANDA 2025 : dans plus de 90% des entreprises, les employés utilisent des outils IA personnels au travail, indépendamment de la politique officielle
- La Garante italienne a infligé en décembre 2024 une amende de 15 M€ à OpenAI — l'application du RGPD à l'IA n'est plus théorique
- L'Article 4 du Règlement IA (littératie IA) est juridiquement obligatoire depuis le 2 février 2025 ; les obligations haut risque s'appliquent au 2 août 2026, sauf report par le Digital Omnibus
- Un cadre opérationnel synthétise NIST AI RMF + ISO 42001 + Règlement IA en 7 piliers, déployable en cinq jours ouvrés
Le mardi matin que tout dirigeant redoute
C'est un mardi de novembre. Un cabinet de conseil de 28 personnes à Lyon reçoit un e-mail d'un ancien client. Objet : « Demande d'accès aux données personnelles en vertu de l'Article 15 RGPD. »
Le client veut savoir exactement quelles données personnelles le concernant ont été traitées, par quels systèmes, et transmises à quels tiers. Une demande standard. Le genre auquel toute entreprise européenne devrait pouvoir répondre dans les 30 jours.
Sauf que la dirigeante réalise quelque chose qui la glace : la moitié de son équipe utilise ChatGPT. Deux personnes utilisent Claude. L'une d'elles utilise Perplexity pour ses recherches client. Aucun de ces outils ne dispose d'un Accord de Traitement des Données avec l'entreprise. Personne ne consigne les requêtes envoyées. Personne ne sait si le nom du client, les détails de son projet ou ses données financières ont jamais été collés dans un chatbot gratuit.
Elle dispose de 30 jours pour rédiger une réponse sincère. Et d'aucun moyen pour reconstituer la vérité.
C'est précisément à cela que sert la gouvernance IA. Pas à un PDF de 40 pages dans un dossier SharePoint. Mais à un ensemble opérationnel de contrôles qui garantit qu'une telle question a une vraie réponse.
Si vous avez déjà lu trois autres articles sur la gouvernance IA, on vous a probablement conseillé de « constituer un comité IA transfonctionnel » et de « développer des politiques complètes ». Ce conseil n'est pas faux. Mais il n'est pas non plus utile pour une entreprise de 20 personnes sans département conformité.
Ce guide est différent. Il distille ce que NIST, l'ISO et le Règlement IA exigent réellement, écarte ce qui ne s'applique pas aux PME, et vous donne un cadre à 7 piliers déployable en une semaine — avec une politique copier-coller adaptable en 30 minutes.
Qu'est-ce que la gouvernance IA, concrètement ?
La gouvernance IA est l'ensemble des politiques, contrôles et structures de responsabilité qui garantissent que l'IA utilisée dans votre entreprise est sûre, légale, traçable et alignée sur vos engagements.
C'est la définition opérationnelle. Les normes internationales disent à peu près la même chose en termes plus formels :
- ISO/IEC 42001:2023, la première norme internationale de système de management de l'IA, décrit la gouvernance comme la façon structurée dont une organisation gère « les risques et opportunités associés à l'IA, en équilibrant innovation et gouvernance » via un cycle Plan-Do-Check-Act.
- NIST AI Risk Management Framework 1.0 (publié en janvier 2023) la décrit comme quatre fonctions interconnectées : Govern, Map, Measure, Manage — appliquées en continu tout au long du cycle de vie du système IA.
- Le Règlement IA ne définit pas la « gouvernance » comme un terme unique, mais les Articles 9, 10, 13, 14 et 17 en prescrivent une de fait : systèmes de gestion des risques, gouvernance des données, transparence, supervision humaine et management de la qualité.
La gouvernance n'est pas un document. C'est une machine opérationnelle qui produit des preuves.
Si un régulateur, un auditeur ou un client demande « quelle IA avez-vous utilisée pour traiter mes données, et comment l'avez-vous contrôlée ? » — votre gouvernance, c'est ce qui vous permet de répondre sincèrement et rapidement. Tout le reste n'est que décoration.
Pourquoi la plupart des politiques IA échouent avant le premier audit
La plupart des entreprises qui tentent la gouvernance IA échouent de l'une de cinq façons. Reconnaître son propre schéma d'échec ici est plus utile que de lire une nouvelle liste de contrôle générique.
Échec 1 : La politique de 40 pages que personne ne lit. Un cabinet de conseil a mandaté un avocat pour rédiger une politique IA complète. Elle couvrait l'éthique, les biais, la minimisation des données, la transparence, l'équité. Elle faisait 41 pages. Aucun des 24 employés n'en avait lu plus que la première page. Quand le DPO a effectué un audit, l'écart entre la politique et ce que les gens faisaient réellement était abyssal.
Échec 2 : Une interdiction qui devient du Shadow AI. Une société financière a interdit ChatGPT après une actualité de fuite de code à la Samsung. En trois mois, 70 % du personnel utilisait des comptes personnels sur des téléphones personnels. L'interdiction n'a produit aucune conformité — seulement de l'invisibilité. Selon une enquête Lenovo 2026 auprès d'entreprises, 31 % des employés qui utilisent l'IA ne reçoivent aucune formation et opèrent entièrement en dehors de la supervision informatique. Le rapport MIT NANDA « State of AI in Business 2025 » a constaté que les employés de plus de 90 % des entreprises utilisent régulièrement des outils IA personnels pour le travail, quelle que soit la politique officielle.
Échec 3 : Les questionnaires fournisseurs comme substitut au contrôle. Une entreprise envoie un questionnaire de sécurité de 200 questions à OpenAI, le reçoit en retour, le classe et considère la gouvernance comme faite. Le questionnaire décrit ce qu'OpenAI fait. Il ne dit rien sur ce que votre équipe commerciale a collé dans un compte ChatGPT gratuit jeudi dernier à 23 h.
Échec 4 : Le comité qui se réunit trimestriellement. Un « comité de gouvernance IA transfonctionnel » de sept dirigeants est constitué. Il se réunit tous les trois mois, passe en revue des présentations et produit des comptes rendus. L'usage réel de l'IA évolue chaque semaine. Le comité rend toujours compte d'une réalité qui n'existe plus.
Échec 5 : Confondre sécurité des données et gouvernance IA. ISO 27001, SOC 2, chiffrement au repos, MFA — tout cela est bien, mais insuffisant. L'IA introduit une surface de risque différente : ce que les employés transmettent volontairement à un modèle tiers dans un prompt, et ce qui revient comme output et influence les décisions. Les outils DLP traditionnels, qui recherchent des numéros de carte bancaire, ne détectent pas un directeur marketing qui colle la feuille de route produit du prochain trimestre dans un chatbot.
La vraie raison pour laquelle les politiques échouent est qu'elles sont rédigées pour une organisation qui n'existe pas — dotée d'un responsable des risques IA dédié, d'une équipe MLOps et d'un budget pour un audit tiers. La plupart des PME européennes n'ont pas cela. La question est donc : à quoi ressemble la gouvernance pour l'entreprise qui existe réellement ?
Les 7 piliers : un cadre qui tient sur une page
Ce cadre synthétise les contrôles sur lesquels NIST AI RMF, ISO 42001 et le Règlement IA convergent tous. En éliminant les redondances et en regroupant les chevauchements, on obtient sept piliers. Aucun n'est inventé. Tous sont directement rattachés à des normes citables.
Pilier 1 : Éthique et principes d'IA responsable
Vous rédigez, en langage clair, l'objet de l'IA dans votre entreprise — et ce qu'elle ne doit pas faire.
Ce n'est pas de la philosophie. C'est la contrainte amont qui détermine tout ce qui suit. Sans elle, chaque décision ultérieure (quel modèle, quel cas d'usage, quelles données) devient ad hoc.
Le contenu minimal d'une déclaration de principes IA est : équité, transparence, responsabilité, vie privée et sécurité. ISO 42001 les nomme exigences de « politique IA » (Clause 5.2). NIST AI RMF les intègre dans la fonction Govern. Le Règlement IA les présuppose tout au long du texte.
Pour une entreprise de 20 personnes, c'est une page. Trois à cinq principes, deux phrases chacun. Signé par le dirigeant. Publié à un endroit que les employés consultent réellement. Revu annuellement.
Pilier 2 : Rôles et responsabilités
Quelqu'un est propriétaire de cela. Pas un comité. Un nom.
ISO 42001 exige que « la direction générale démontre son leadership et son engagement » (Clause 5.1) et que « les responsabilités et autorités pour les rôles pertinents soient assignées et communiquées » (Clause 5.3). NIST AI RMF fait de la responsabilité la caractéristique centrale de la fonction Govern.
Pour une petite entreprise, la structure est simple : un responsable IA (fondateur, CTO ou directeur des opérations — responsable du cadre, avec autorité), des approbateurs fonctionnels (le responsable des ventes, RH, juridique, finances approuve les outils IA utilisés dans sa fonction) et chaque employé responsable d'utiliser uniquement les outils approuvés et de signaler les incidents.
Le Règlement IA ajoute une exigence spécifique à l'Article 26(2) : pour les systèmes IA à haut risque, les déployeurs doivent « assigner la supervision humaine à des personnes physiques ayant les compétences, la formation et l'autorité nécessaires ». Cela s'applique si vous déployez de l'IA à haut risque ; pour la plupart des PME utilisant l'IA pour rédiger, résumer et analyser, ce n'est pas le cas. Mais le principe — des personnes compétentes avec autorité — s'applique quoi qu'il en soit.
Pilier 3 : Gestion des risques tout au long du cycle de vie
Vous identifiez ce qui peut mal tourner, et vous continuez à vérifier.
La boucle Map-Measure-Manage du NIST AI RMF est la version la plus claire de cela. ISO 42001 Clause 6.1 l'appelle « actions pour traiter les risques et les opportunités ». L'Article 9 du Règlement IA prescrit un « système de gestion des risques » pour l'IA à haut risque : continu, itératif, documenté tout au long du cycle de vie.
Pour une PME utilisant des modèles commerciaux (GPT, Claude, Gemini, Mistral via API), les risques se répartissent en cinq catégories :
- Fuite de données — informations confidentielles quittant l'entreprise dans un prompt.
- Dérapage des coûts — consommation API non surveillée générant des factures surprises.
- Erreurs d'output — le modèle fabrique un fait, un nom ou une citation qui se retrouve dans un travail client.
- Dépendance fournisseur ou défaillance — votre seul fournisseur IA augmente ses prix, modifie ses conditions ou subit une panne.
- Dérive de conformité — la réglementation évolue, vos contrôles non.
Chaque risque obtient une personne responsable nommée, une mesure documentée et une révision trimestrielle. C'est l'intégralité du système de gestion des risques pour la plupart des PME.
Pilier 4 : Gouvernance des données
Mauvaises données en entrée, mauvais output IA. Et pire : mauvaises données en entrée, violation du RGPD en sortie.
ISO 42001 Annexe A traite la gouvernance des données comme un contrôle fondamental. L'Article 10 du Règlement IA la rend explicite pour les systèmes à haut risque : les données d'entraînement, de validation et de test doivent répondre à des critères de qualité, être pertinentes, suffisamment représentatives et exemptes d'erreurs dans la mesure du possible.
Pour une PME utilisant des modèles tiers, vous n'entraînez pas de données — mais vous contrôlez ce qui alimente les outils IA. Le minimum :
- Catégorisez ce que les employés peuvent ou ne peuvent pas saisir dans les outils IA. Trois niveaux : vert (tout), ambre (avec approbation, sur outils approuvés uniquement), rouge (jamais). Les données personnelles client sont ambre ou rouge. Les secrets commerciaux sont rouges. Les informations publiques sont vertes.
- Choisissez des fournisseurs IA qui s'engagent contractuellement à ne pas utiliser vos prompts pour l'entraînement. Le paramètre « zero data retention » ou « pas d'entraînement sur les données client ». Les offres gratuites ne le garantissent pas.
- Signez un Accord de Traitement des Données avec chaque fournisseur IA qui touche à des données personnelles. RGPD Article 28. Pas optionnel.
- Journalisez les données qui franchissent la frontière. Au minimum : quel utilisateur, quel système, quel horodatage, quelle catégorie de données.
Pilier 5 : Transparence
Votre équipe, vos clients et (le cas échéant) le régulateur peuvent voir ce que l'IA fait au sein de votre entreprise.
L'Article 13 du Règlement IA exige que les systèmes IA à haut risque soient « conçus et développés de manière à garantir que leur fonctionnement soit suffisamment transparent ». L'Article 50 ajoute des obligations de divulgation : les chatbots doivent informer les utilisateurs qu'ils sont des IA ; les contenus générés par IA doivent être étiquetés.
Au sein de votre entreprise, la transparence se résume à trois éléments : une liste à jour des outils IA en usage (une feuille de calcul, une source de vérité, mise à jour mensuellement) ; une divulgation par outil aux clients quand l'IA contribue substantiellement à une prestation ; et une explicabilité interne — quand l'IA est utilisée dans une décision affectant une personne, l'humain qui prend la décision finale comprend ce que l'IA a suggéré et pourquoi, et peut le contredire.
Pilier 6 : Supervision humaine
L'Article 14 du Règlement IA est la formulation la plus claire de la supervision humaine dans toute réglementation. Il exige trois choses de tout système IA à haut risque :
- Observabilité — un humain peut surveiller le système en fonctionnement, détecter les anomalies, comprendre les outputs.
- Conscience du biais d'automatisation — l'humain est formé pour reconnaître la sur-dépendance aux suggestions de l'IA.
- Contrôlabilité — l'humain peut ignorer, contredire ou arrêter l'IA à tout moment, sans approbation managériale, contournement technique ou temps d'arrêt.
Le troisième point est le test pratique. Si votre équipe ne peut pas désactiver, contredire ou refuser la suggestion de l'IA en temps réel, vous n'avez pas de supervision humaine. Vous avez un tampon en caoutchouc.
Pour les PME n'utilisant pas de systèmes « à haut risque » au sens du Règlement IA, cela n'est pas légalement obligatoire. Appliquez-le quand même. C'est le seul contrôle qui prévient la pire catégorie d'échec IA : une réponse erronée et confiante traitée comme une vérité.
Pilier 7 : Conformité, audit et réponse aux incidents
Vous avez des preuves, et vous avez un plan pour quand les choses tournent mal.
ISO 42001 Clause 9 (Évaluation des performances) et Clause 10 (Amélioration) couvrent cela. NIST AI RMF l'intègre dans Manage. Les Articles 17, 19 et 26 du Règlement IA rendent certains éléments juridiquement contraignants pour l'IA à haut risque.
Pour une PME, la version opérationnelle est : un registre IA (une ligne par système en usage, colonnes : nom, fournisseur, finalité, catégorie de données traitées, approbateur, date de dernière révision, référence DPA) ; une procédure de réponse aux incidents (qui notifier si des données confidentielles sont envoyées à un outil IA public, quoi faire dans la première heure, quand notifier la CNIL — le RGPD vous donne 72 heures à compter de la prise de connaissance, Article 33) ; et une révision trimestrielle (30 minutes avec le responsable IA et un ou deux responsables fonctionnels).
Ces sept piliers sont ce que partagent NIST AI RMF, ISO 42001 et le Règlement IA, exprimé à l'échelle qu'une entreprise de 20 personnes peut réellement mettre en œuvre.
Comment NIST, ISO 42001 et le Règlement IA s'articulent
Ces trois référentiels sont souvent présentés comme des alternatives. Ce ne sont pas des alternatives. Ils servent des finalités différentes.
| Référentiel | Type | Obligatoire ? | Ce qu'il vous apporte |
|---|---|---|---|
| NIST AI RMF 1.0 | Guidance volontaire de gestion des risques | Non | Vocabulaire flexible pour le risque : Govern, Map, Measure, Manage |
| ISO/IEC 42001:2023 | Norme certifiable de système de management | Non (mais certifiable) | Système de management répétable ; certification auditable (4–9 mois pour les PME) |
| Règlement IA | Règlement européen contraignant | Oui | Obligations spécifiques par classe de risque ; amendes jusqu'à 35 M€ ou 7 % du CA mondial |
La relation pragmatique : NIST AI RMF vous donne le langage et le modèle mental. ISO 42001 vous donne la structure du système de management. Le Règlement IA est la loi — la conformité n'est pas négociable pour les systèmes dans son champ d'application.
Une entreprise qui met bien en œuvre ISO 42001 satisfera la plupart des résultats du NIST AI RMF et la plupart des exigences organisationnelles du Règlement IA. Ils se renforcent mutuellement, ils ne se concurrencent pas.
Ce que le Règlement IA exige réellement de votre entreprise en 2026
Le Règlement IA est entré en vigueur le 1er août 2024 et s'applique par phases :
- 2 février 2025 — Pratiques IA interdites et obligations de littératie IA au titre de l'Article 4 sont devenues applicables. Toute entreprise déployant de l'IA doit s'assurer que son personnel dispose d'« un niveau suffisant de littératie en matière d'IA ».
- 2 août 2025 — Obligations pour les fournisseurs de modèles IA à usage général (OpenAI, Anthropic, Google, Mistral, Meta) sont devenues applicables. Les autorités nationales compétentes devaient être désignées.
- 2 août 2026 — La plupart des dispositions restantes deviennent applicables, y compris les obligations pour l'IA à haut risque de l'Annexe III, les obligations de transparence de l'Article 50 et les bacs à sable réglementaires IA.
- 2 août 2027 — Les règles pour l'IA à haut risque intégrée dans des produits réglementés (dispositifs médicaux, véhicules) s'appliquent.
Une mise en garde critique pour 2026 : le 19 novembre 2025, la Commission européenne a publié le « Digital Omnibus on AI » — une proposition de report de l'échéance de conformité haut risque du 2 août 2026 au 2 décembre 2027. En mai 2026, les négociations en trilogue ont abouti à un accord politique, mais l'Omnibus n'a pas encore été formellement adopté. Jusqu'à ce que ce soit le cas, l'échéance originale du 2 août 2026 s'applique.
Traduction pratique pour votre entreprise :
- La littératie IA est déjà légalement obligatoire. L'Article 4 est en vigueur depuis février 2025. Tout employé utilisant l'IA doit avoir bénéficié d'une formation documentée proportionnée à son rôle.
- La plupart des PME ne déploient pas d'IA à haut risque. La liste de l'Annexe III est spécifique : IA dans les infrastructures critiques, l'accès à l'éducation, le filtrage des candidatures, les services essentiels, l'application de la loi, la migration, la justice. Rédiger des e-mails, résumer des documents, générer des textes marketing n'est pas de l'IA à haut risque au sens du Règlement.
- Les sanctions sont graduées. Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites. Jusqu'à 15 millions d'euros ou 3 % pour les violations à haut risque. Les PME bénéficient de la proportionnalité (Article 99(6)) — les amendes doivent tenir compte de la taille des PME.
Si vous construisez le cadre à 7 piliers ci-dessus, la conformité au Règlement IA pour l'IA non-à-haut-risque en découle automatiquement.
Le plan de déploiement en une semaine pour une équipe de 20 personnes
Ce plan est pour une entreprise qui n'a rien fait en matière de gouvernance IA et veut être en position défendable d'ici vendredi. Cinq jours ouvrés. Une personne désignée. En moyenne deux heures par jour.
Jour 1 — Inventaire. Envoyez une question à chaque employé : « Listez tous les outils IA que vous avez utilisés pour le travail au cours des 90 derniers jours, y compris les outils gratuits. » Ne sanctionnez pas la divulgation. Compilez la liste. Selon l'étude MIT NANDA 2025, les employés de 90 % des entreprises utilisent des outils IA que leur employeur ne connaît pas. Votre chiffre ne sera pas inférieur.
Jour 2 — Catégoriser. Classez chaque outil dans trois catégories : approuver et standardiser (abonnement payant, DPA signé), remplacer (outil gratuit effectuant un travail nécessaire — upgrader ou migrer), interdire (pas de formule entreprise, pas d'option DPA, conditions inacceptables).
Jour 3 — Rédiger les principes et la classification des données. Une page. Cinq principes dans votre propre voix. Trois niveaux de données (vert/ambre/rouge) avec des exemples. Dirigeant signe. Publié dans le wiki de l'entreprise.
Jour 4 — Construire le registre et la règle de dérogation. Ouvrir une feuille de calcul. Une ligne par outil approuvé : nom, fournisseur, finalité, niveau de données autorisé, approbateur, DPA en dossier (oui/non/lien), date de dernière révision. Pour chaque outil, rédiger la règle de dérogation.
Jour 5 — Former et annoncer. Réunion de 45 minutes pour toute l'équipe. Parcourir les principes, le système de niveaux, la liste d'outils approuvés, la procédure de réponse aux incidents. Documenter la présence — c'est votre preuve de littératie IA au titre de l'Article 4.
D'ici vendredi après-midi, vous disposez d'une déclaration de principes IA signée, d'un inventaire catégorisé, de critères d'approbation écrits, d'un registre IA, d'une procédure de dérogation et de réponse aux incidents documentée, et de personnel formé avec relevés de présence.
C'est plus de gouvernance IA que ce que pratiquent 80 % des PME européennes aujourd'hui.
Copier-coller : le cadre de gouvernance IA en une page
Vous trouverez ci-dessous un cadre complet que vous pouvez copier dans un Google Doc, une page Notion ou un wiki d'entreprise et adapter en 30 minutes. Remplacez les espaces réservés entre crochets. Modifiez la liste d'outils IA pour correspondre à votre inventaire du Jour 1. Signez, partagez, révisez trimestriellement.
Ce n'est pas un document juridique. C'est une politique opérationnelle. Si vous exercez dans un secteur réglementé (finance, santé, services juridiques) ou déployez de l'IA à haut risque au titre de l'Annexe III du Règlement IA, faites-le réviser par un avocat avant publication.
[NOM DE VOTRE ENTREPRISE] — Cadre de gouvernance IA
Version 1.0 · En vigueur le [DATE] · Responsable : [NOM, FONCTION] · Prochaine révision : [DATE + 3 mois]
1. Objet
Ce document définit comment [ENTREPRISE] utilise l'intelligence artificielle dans son activité, qui en est responsable et comment nous veillons à ce que cet usage soit sûr, légal et aligné sur nos engagements envers nos clients, employés et partenaires.
2. Principes
Nous utilisons l'IA dans notre entreprise selon cinq principes :
- Augmentation, pas remplacement. L'IA assiste le jugement humain dans les travaux clients et internes. Un humain revoit et est responsable de chaque output qui quitte l'entreprise.
- Traitement légal des données. Nous ne saisissons pas de données personnelles, d'informations confidentielles client ou de secrets commerciaux dans des outils IA qui ne disposent pas d'un Accord de Traitement des Données avec nous.
- Transparence. Nous maintenons un registre à jour de chaque outil IA utilisé dans l'entreprise et informons les clients quand l'IA contribue substantiellement à une prestation.
- Discipline budgétaire. Chaque outil IA à tarification à l'usage dispose d'une limite budgétaire stricte. Aucun employé ne peut engager des coûts IA au-delà de son plafond mensuel sans approbation écrite.
- Révision continue. Ce cadre est révisé trimestriellement. Le registre IA est mis à jour mensuellement. Les incidents sont consignés et analysés.
3. Rôles
- Responsable IA : [NOM, FONCTION]. Responsable de ce cadre. Approuve les nouveaux outils IA. Tient le registre IA. Rend compte trimestriellement à la direction.
- Approbateurs fonctionnels : Chaque responsable de département approuve les outils IA utilisés dans sa fonction.
- Chaque employé : Utilise uniquement les outils approuvés listés à la Section 6. Signale les incidents conformément à la Section 9 dans un délai d'un jour ouvré.
4. Classification des données
Les informations chez [ENTREPRISE] se répartissent en trois niveaux. Chaque niveau définit quels outils IA peuvent les traiter.
| Niveau | Exemples | Outils IA autorisés |
|---|---|---|
| Vert | Informations publiques, textes marketing, recherches génériques | Tout outil approuvé à la Section 6 |
| Ambre | Documents internes, travaux client en cours, chiffres financiers non encore publiés | Uniquement outils avec DPA signé et engagement contractuel de non-entraînement |
| Rouge | Données personnelles client, informations médicales, secrets commerciaux, code source, documents financiers non caviardés, conseils juridiques | Aucun outil IA sans approbation explicite au cas par cas du Responsable IA |
En cas de doute, traitez les données comme un niveau au-dessus de ce que vous pensez.
5. Outils IA — critères d'approbation
Un outil ne peut être ajouté à la liste approuvée que s'il satisfait à l'ensemble des critères suivants :
- Accord de Traitement des Données signé conformément à l'Article 28 du RGPD
- Engagement documenté que les prompts clients ne sont pas utilisés pour entraîner les modèles
- Hébergement UE ou pays adéquat confirmé par écrit, ou mécanisme de transfert SCC en place
- Authentification via SSO ou, au minimum, identifiants uniques par employé
- Clause de notification d'incident dans le contrat fournisseur — le fournisseur doit notifier les violations dans les 72 heures
- Plafond de coût configurable ou abonnement à tarif fixe
6. Registre des outils IA approuvés
| Outil | Fournisseur | Finalité | Niveau de données autorisé | Approbateur | DPA en dossier | Dernière révision |
|---|---|---|---|---|---|---|
| [Outil 1] | [Fournisseur] | [Finalité] | Vert / Ambre | [Nom] | [Oui — lien] | [Date] |
| [Outil 2] | [Fournisseur] | [Finalité] | Vert | [Nom] | [Oui — lien] | [Date] |
Ce registre est l'unique source de vérité. Un outil absent de cette liste n'est pas approuvé.
7. Usages interdits
Sont interdits quel que soit l'outil : saisir des données de niveau Rouge dans tout système IA ; utiliser des comptes IA grand public gratuits pour toute tâche professionnelle impliquant des données Ambre ou Rouges ; agir sur un output IA dans une décision réglementée (recrutement, licenciement, crédit) sans revue humaine documentée et autorité de dérogation ; désactiver ou contourner tout contrôle de ce cadre.
8. Supervision humaine
Pour chaque outil IA de la Section 6, l'approbateur définit par écrit : qui révise l'output avant qu'il quitte l'entreprise ; ce qu'il vérifie (exactitude factuelle, citations hallucinées, ton, confidentialité client) ; comment les dérogations sont enregistrées.
9. Réponse aux incidents
Si des données confidentielles, de niveau Ambre ou Rouge, ont été saisies dans un outil IA non approuvé, ou dans un outil approuvé en violation de son niveau de données :
- Dans l'heure : notifier le Responsable IA ([NOM, EMAIL]).
- Dans les 4 heures : le Responsable IA évalue la portée. Données personnelles concernées → DPO notifié.
- Dans les 24 heures : décision sur le fait que l'incident déclenche ou non une notification de violation de données personnelles au titre de l'Article 33 du RGPD (72 heures à la CNIL).
- Dans les 5 jours ouvrés : résumé écrit de l'incident ajouté au journal des incidents.
Les employés qui signalent promptement leurs propres erreurs ne feront pas l'objet de mesures disciplinaires pour l'erreur elle-même.
10. Formation et littératie IA
Conformément à l'Article 4 du Règlement IA, tout employé utilisant des outils IA chez [ENTREPRISE] bénéficie : d'un onboarding initial (45 minutes, documenté), d'une mise à jour annuelle (30 minutes, documentée) et d'une formation spécifique à son rôle quand sa fonction modifie l'usage de l'IA.
11. Révision et contrôle des versions
Ce cadre est révisé trimestriellement par le Responsable IA. Le registre IA est mis à jour mensuellement. La version en vigueur est toujours accessible à [LIEN INTERNE].
Signé : [NOM DU DIRIGEANT, FONCTION] Date : [DATE]
C'est l'intégralité du cadre. Une page, onze sections, prêt à copier. Il ne gagnera pas de prix littéraires. En revanche, il passera un questionnaire d'achat d'un client grand compte, satisfera un audit DPO et donnera à votre équipe une réponse claire à « qu'avons-nous le droit d'utiliser, et pour quoi ? »
Utilisez-le comme point de départ, pas comme point d'arrivée. Le point d'arrivée, c'est l'habitude sur quatre trimestres qui le maintient véridique.
Une plateforme multi-LLM qui implémente les piliers 3, 4, 5 et 7 par défaut.
Custos AI est une plateforme conforme au RGPD qui donne à votre équipe accès à GPT, Claude, Gemini et Mistral via une interface unique — avec des limites budgétaires strictes par utilisateur, un hébergement UE à Francfort et Amsterdam, des accords de traitement signés avec chaque fournisseur, et un journal d'audit de chaque prompt. Vous apportez vos propres clés API (BYOK), il n'y a donc pas de marge IA et pas de factures surprises. Le cadre à 7 piliers ci-dessus n'exige pas Custos. Mais si vous le construisez, Custos couvre quatre des sept piliers par défaut — gestion des risques, gouvernance des données, transparence et audit. Les trois autres (principes, rôles, supervision) restent de votre responsabilité organisationnelle.
Essai gratuit 14 jours
Prochaine lecture : Ce que le Règlement IA exige réellement d'une entreprise de 20 personnes
La liste des systèmes à haut risque de l'Annexe III, l'obligation de littératie IA de l'Article 4 et la checklist de conformité pratique pour les PME qui ne déploient pas de systèmes à haut risque mais doivent tout de même prouver leur conformité.
Lire : Le Règlement IA pour les entreprises de 20 personnes →
Frequently asked questions
Qu'est-ce que la gouvernance IA, concrètement ?›
Une PME a-t-elle vraiment besoin d'un cadre formel de gouvernance IA ?›
Comment le Règlement IA s'applique-t-il à mon entreprise en 2026 ?›
Quelle est la différence entre NIST AI RMF, ISO 42001 et le Règlement IA ?›
Combien de temps prend la certification ISO 42001 pour une PME ?›
Comment Custos AI gère-t-elle la gouvernance IA ?›
Custos AI
The Custos AI team
Custos AI is a GDPR-proof multi-LLM platform for European businesses. We write about AI governance, GDPR compliance and safe AI use for small and medium companies.