Politique IA en entreprise : encadrer ChatGPT, Copilot et Gemini dans une PME
Pourquoi et comment rédiger une politique d’usage de l’IA en PME : shadow AI, outils autorisés, données interdites, validation humaine et considérations LPD.
Pourquoi et comment rédiger une politique d’usage de l’IA en PME : shadow AI, outils autorisés, données interdites, validation humaine et considérations LPD.
Pourquoi et comment rédiger une politique d’usage de l’IA en PME : shadow AI, outils autorisés, données interdites, validation humaine et considérations LPD.
L’intelligence artificielle générative est déjà entrée dans votre entreprise, que vous l’ayez décidé ou non. Vos collaborateurs utilisent ChatGPT pour rédiger des e-mails, Copilot pour résumer des documents, Gemini pour préparer des présentations. Le vrai risque n’est pas l’IA en soi : c’est son usage sans cadre.
Ce phénomène a un nom, le « shadow AI » : des outils puissants employés en dehors de tout contrôle, parfois avec des données confidentielles collées dans une fenêtre de discussion. Une politique d’usage de l’IA n’a pas pour but d’interdire ces outils, mais de définir comment les utiliser sans exposer l’entreprise.
Voici pourquoi une politique IA est devenue nécessaire, ce qu’elle doit contenir, un modèle de structure réutilisable, et les considérations liées à la protection des données lorsqu’on envoie des informations à un service d’IA.
Le danger principal n’est pas qu’un collaborateur utilise l’IA, mais qu’il le fasse sans savoir quelles données il peut ou ne peut pas partager. Coller un contrat, une liste de clients ou un dossier RH dans un outil grand public, c’est potentiellement confier ces informations à un tiers, hors de votre contrôle.
L’absence de règle claire crée aussi une inégalité : chacun improvise sa propre limite. Une politique met tout le monde au même niveau d’information et transforme un risque diffus en pratique maîtrisée.
Une politique efficace tient sur quelques pages et se lit en dix minutes. Elle répond à des questions concrètes que se posent réellement les collaborateurs, plutôt que d’aligner des principes généraux.
Quatre piliers structurent une politique solide et applicable au quotidien.
Vous n’avez pas besoin de partir d’une page blanche. Une politique IA peut suivre un plan simple et adaptable à toute PME.
L’essentiel est qu’elle soit courte, concrète et effectivement diffusée. Une politique parfaite que personne ne lit ne protège personne.
Envoyer des données personnelles à un service d’IA revient à les transmettre à un tiers, souvent hébergé hors de Suisse. La loi fédérale sur la protection des données (LPD) encadre ce type de traitement et de transfert. Cet article est informatif et ne constitue pas un conseil juridique : pour les cas sensibles, faites valider votre démarche par un spécialiste.
En pratique, la prudence consiste à ne jamais saisir de données personnelles ou confidentielles dans un outil grand public, à privilégier des offres professionnelles avec des garanties contractuelles, et à documenter quels outils traitent quelles catégories de données.
Une politique n’a de valeur que si elle est comprise et appliquée. Cela passe par une communication claire, une courte formation et un référent identifié à qui poser les questions.
Intégrer l’usage de l’IA dans votre démarche de sécurité globale, aux côtés de la messagerie et des accès, permet de traiter ce sujet nouveau avec la même rigueur que les autres. Un diagnostic est souvent le meilleur moyen d’objectiver les usages réels avant de rédiger la règle.