C'est le document central qui transforme une intention de conformité en cadre opposable. Voici la structure que nous utilisons dans nos missions, les pièges à éviter, et une méthode pour la rédiger en deux semaines plutôt qu'en six mois.
Quand une PME nous demande « par où on commence », la réponse tient dans la politique IA. Pas le registre, pas la formation, pas la charte. La politique est le document pivot : c'est elle qui fixe les règles, c'est elle qui protège l'entreprise, et c'est elle qui alimente tout le reste — le plan de formation découle de ses règles, le registre tient la liste des outils qu'elle autorise, la procédure d'incident se déclenche sur les cas qu'elle décrit.
Un règlement intérieur interdit certains comportements, un guide pratique explique comment utiliser un outil. La politique IA fait les deux : elle pose des règles opposables aux salariés et fournit le cadre opérationnel pour l'entreprise. Sans elle, les autres documents flottent sans ancrage juridique. Avec elle, vous avez un texte auquel vous pouvez renvoyer en cas de contrôle, de contentieux ou de simple question interne.
Qui est concerné (tous les collaborateurs, y compris intérimaires, stagiaires, prestataires sur site), sur quels outils (tout système d'IA utilisé dans le cadre du travail, quel qu'en soit le support), et dans quel but (conformité AI Act, protection des données, sécurité, qualité).
« Système d'IA », « déployeur », « donnée sensible », « incident IA », « outil officiel », « shadow IA ». Quatre à huit définitions suffisent. L'objectif n'est pas juridique, c'est d'éviter les malentendus.
Cinq ou six principes courts : validation humaine systématique, confidentialité, transparence, non-discrimination, proportionnalité, loyauté. Ces principes servent de filet de sécurité pour tous les cas non prévus explicitement.
La liste nominative des outils autorisés dans l'entreprise, par catégorie (rédaction, traduction, code, image, analyse). Chaque outil est associé à un ou plusieurs cas d'usage, et à une règle de confidentialité. Cette liste est le cœur opérationnel du document : c'est elle que les collaborateurs consultent au quotidien.
La section la plus lue. Elle distingue trois niveaux : ce que les collaborateurs peuvent faire librement avec les outils officiels, ce qu'ils peuvent faire sous conditions (validation, anonymisation, relecture), et ce qui est formellement interdit (données sensibles, décisions automatisées sans revue humaine, outils non validés, saisie de données clients identifiables sur des plateformes gratuites).
La seule façon de contrôler la prolifération. Qui peut demander l'ajout d'un outil, à qui l'adresser, quels critères d'évaluation (confidentialité, RGPD, classement AI Act, coût, alternative existante), délai de réponse, et canal de publication de la décision.
Comment signaler un incident (fuite, erreur, contenu problématique, hallucination grave), à qui, sous quel délai. Articulation avec la procédure RGPD existante si l'incident touche des données personnelles.
Qui fait quoi : direction, référent IA, DPO, RSSI, managers, utilisateurs finaux. Une matrice simple en quatre à six lignes suffit.
Conséquences du non-respect (articulation avec le règlement intérieur), fréquence de revue (au moins annuelle), procédure de mise à jour, date de la dernière version.
Au-delà, personne ne la lit, et son opposabilité s'effrite. L'objectif est un document qu'un collaborateur peut parcourir en 20 minutes et consulter en 2 minutes pour trouver une règle précise.
Un court questionnaire à tous les managers : quels outils IA utilisent vos équipes, pour quoi, quelles sont vos règles informelles actuelles. Sans cette collecte, la politique ne collera pas au terrain.
Un référent (interne ou externe) pose la structure, rédige les neuf sections, et s'appuie sur les données de l'étape 1. C'est la version que vous soumettrez à relecture — elle n'a pas besoin d'être parfaite.
Direction, DPO si existant, représentants RH et métier. Le but est de s'assurer qu'aucune règle n'est ingérable, qu'aucun outil clé n'a été oublié, et que les sanctions sont cohérentes avec le règlement intérieur.
Avenant au règlement intérieur, information-consultation du CSE selon les cas, publication sur l'intranet, annonce officielle par la direction, et session de présentation orale aux collaborateurs. Cette dernière étape est capitale : une politique jamais présentée n'est jamais appliquée.
La politique IA est un document vivant. Elle doit être revue à chaque ajout d'outil majeur, à chaque évolution réglementaire, et au minimum une fois par an. Cette revue est l'un des rituels clés du référent IA. C'est aussi un excellent indicateur de la maturité IA de votre entreprise : si la politique n'a pas bougé depuis 18 mois, c'est que vous êtes en retard.
Chez Wavoo, nous rédigeons la politique IA dans le cadre de la mission de mise en conformité, en deux semaines calendaires, avec un atelier de validation en présentiel à Montpellier ou à distance. Le document est livré au format modifiable et s'intègre au dossier de conformité remis à la direction à la fin de la mission. Pour en discuter, voir nos offres.
Wavoo rédige votre politique IA avec vos équipes et l'intègre à votre dispositif de conformité global. Échange gratuit pour cadrer la mission.
Réserver un appel