Partenaire IT? Decouvrez comment livrer la conformite NIS2

Voir offre partenaire →
Par · Fondateur, Easy Cyber Protection · · Comment nous écrivons

Usage acceptable de l'IA au travail : une politique pratique pour les PME

Les outils d'intelligence artificielle (IA) se sont discrètement installés dans la plupart des entreprises. Les collaborateurs collent des emails de clients dans des chatbots IA, résument des contrats et rédigent des offres, souvent sans que personne n'ait décidé si c'est acceptable. Ce guide donne aux dirigeants de petites et moyennes entreprises (PME) une approche pratique en cinq étapes pour fixer les règles sans interdire les outils.

Employé de bureau devant un ordinateur portable, comparant des outils IA approuvés et des chatbots IA non approuvés
Une politique d'une page vaut mieux qu'un laisser-faire silencieux

Qu'est-ce que l'IA fantôme, et pourquoi c'est important

L'IA fantôme, c'est l'usage d'outils IA que votre entreprise n'a jamais validés. Un collaborateur colle un contrat client dans un chatbot IA gratuit pour le résumer, ou téléverse un tableur de données clients pour une analyse rapide. Le travail avance plus vite. Le problème, c'est ce qui arrive aux données.

  • ! Les données échappent à votre contrôle. Une fois le texte tapé dans un outil externe, vous ne décidez plus où il est stocké, qui peut le lire, ni s'il sert à entraîner le modèle de quelqu'un d'autre.
  • ! Les promesses de confidentialité se brisent. Vos contrats avec vos clients promettent de garder leurs informations confidentielles. Ces promesses contiennent rarement une exception pour les chatbots IA.
  • ! Exposition au RGPD. Mettre des données personnelles de clients dans un outil sans contrat de sous-traitance est un traitement au sens du Règlement général sur la protection des données (RGPD) dont vous ne pouvez pas rendre compte. Si un client ou l'autorité demande où sont passées ses données, « nous ne savons pas » n'est pas une réponse.
  • ! Confiance des clients. De plus en plus de clients demandent à leurs fournisseurs comment les données sont traitées. « Nous ne savons pas quels outils IA notre personnel utilise » fait perdre des contrats.

Il y a aussi un angle sécurité. Le personnel habitué à suivre les instructions d'outils et de pages web sans les questionner est plus facile à manipuler. L'intrusion dans la commune néerlandaise d'Epe (enquête publiée le 5 juin 2026, Security.NL) a commencé par un leurre dit ClickFix : un employé a été piégé pour coller une commande qui a donné aux attaquants leur accès initial. Des règles claires sur les outils à qui faire confiance, et les instructions à ne jamais suivre, protègent contre bien plus que les fuites de données.

Une approche pratique en 5 étapes

Pas besoin d'un groupe de travail ni d'un document de 40 pages. Cinq étapes, chacune assez petite pour être bouclée en une semaine :

1. Inventoriez les outils IA réellement utilisés

Demandez, ne jouez pas au gendarme. Un court sondage anonyme suffit : « Quels outils IA utilises-tu pour le travail, et pour quoi ? » L'objectif est une image réelle, pas une punition. Attendez-vous à plus d'outils que prévu.

2. Classifiez les données qui ne peuvent jamais aller dans des outils IA externes

Restez concret : données personnelles de clients, données financières, mots de passe et clés d'accès, secrets d'affaires, et tout ce qui est couvert par un accord de confidentialité. Si vous avez déjà une classification des données pour la conformité, réutilisez-la.

3. Approuvez une liste courte d'outils

Choisissez un petit nombre d'outils qui couvrent les besoins réels de l'étape 1. Vérifiez leurs conditions : vos saisies servent-elles à l'entraînement ? Où sont-elles stockées ? Existe-t-il des comptes professionnels avec contrôle administrateur ? Puis dites un oui clair à ces outils.

4. Rédigez une politique d'usage d'une page

Une page qui dit quels outils sont autorisés, quelles données sont interdites, qui étiquette le contenu généré par IA, et à qui s'adresser en cas de doute. La section suivante vous donne la structure.

5. Formez et révisez chaque trimestre

Quinze minutes en réunion d'équipe suffisent : montrez la politique, montrez un exemple réaliste de ce qui tourne mal, répondez aux questions. Les outils IA et les règles changent vite ; révisez la liste d'outils et la politique chaque trimestre.

Ce qui doit figurer dans la politique d'une page

Une page suffit, et une page se lit. Quatre éléments :

  • Outils autorisés. Nommez les outils approuvés et exigez des comptes professionnels, pas des comptes privés. Tout ce qui n'est pas sur la liste demande d'abord une approbation.
  • Catégories de données interdites. Listez ce qui ne va jamais dans un outil IA externe, avec des exemples que vos collaborateurs reconnaissent : noms et adresses de clients, données salariales, mots de passe, conditions contractuelles.
  • Obligations d'étiquetage. À partir du 2 août 2026, l'article 50 de l'EU AI Act exige entre autres que les deepfakes et les textes générés par IA publiés sur des sujets d'intérêt public soient clairement étiquetés, et que les chatbots soient reconnaissables comme tels. Désignez une personne qui vérifie ce point avant toute publication de contenu généré par IA.
  • À qui s'adresser. Nommez une personne pour la question « puis-je utiliser cet outil, avec ces données ? » Douter doit coûter peu ; une réponse rapide évite les contournements silencieux.

Pour le volet étiquetage, notre guide Contenu généré par l'IA : les règles européennes d'étiquetage expliquées détaille exactement ce qui doit être étiqueté, par qui, et à partir de quand.

L'angle MSP : proposez ceci comme livrable

Si vous êtes un fournisseur de services managés (MSP), la politique d'usage acceptable de l'IA est un ajout naturel à votre catalogue de services. Elle s'aligne directement sur les contrôles de classification de l'information et de politiques que vous gérez déjà pour les cadres de conformité ; la plupart des briques existent donc déjà :

  • Réutilisez la classification des données existante du client pour la liste des données interdites. S'il n'y en a pas, cette politique est la raison d'en créer une.
  • Combinez la politique avec la formation de sensibilisation à la sécurité que vous livrez déjà ; l'IA fantôme se place naturellement à côté du phishing.
  • La révision trimestrielle s'insère dans le rythme de service que vous tenez déjà pour les correctifs et les revues d'accès.
  • À partir du 2 août 2026, vos clients poseront de toute façon des questions sur l'étiquetage du contenu IA. Arriver avec une politique d'une page déjà prête répond à la question avant qu'elle soit posée.

FAQ

Ne devrions-nous pas simplement interdire les outils IA ?

Une interdiction est le chemin le plus rapide vers plus d'IA fantôme, pas moins. Le personnel utilise ces outils parce qu'ils font gagner du temps ; interdisez-les et l'usage migre vers les téléphones privés et les comptes privés où vous n'avez aucune visibilité. Approuver une liste courte avec des règles claires garde la productivité et élimine l'essentiel du risque.

Coller des données clients dans un chatbot IA, est-ce un problème RGPD ?

Cela peut l'être. Saisir des données personnelles de clients dans un outil externe est un traitement au sens du RGPD, et sans contrat de sous-traitance avec le fournisseur de l'outil, vous ne pouvez pas en rendre compte. La règle pratique : traitez les données personnelles de clients comme interdites dans les outils IA, sauf si l'outil est couvert contractuellement, par exemple via un compte professionnel approuvé.

Qu'est-ce qui change le 2 août 2026 ?

Les obligations de transparence de l'article 50 de l'EU AI Act s'appliquent à partir de cette date. Les chatbots doivent être reconnaissables comme tels, les fournisseurs d'outils IA doivent marquer le contenu généré par IA de façon lisible par machine, et les entreprises qui publient des deepfakes ou des textes générés par IA sur des sujets d'intérêt public doivent les étiqueter clairement. La Commission européenne a publié le 10 juin 2026 un code de bonnes pratiques volontaire qui décrit comment faire en pratique.

Quelle longueur pour la politique ?

Une page. Une politique que personne ne lit ne protège personne. Outils autorisés, données interdites, obligation d'étiquetage, une personne de contact. Si votre entreprise a des risques inhabituels, mettez les détails en annexe et gardez la page elle-même courte.

Pour aller plus loin

TARS AI