RÉGLEMENTATION · · 7 min de lecture · Par Alexandre Cadot

IA en entreprise sans cadre : le risque qu'on ignore.

Vos équipes utilisent déjà l'IA sans règle. Le risque que personne ne regarde : données, qualité, AI Act. Et le cadre simple à poser.

SOMMAIRE6 sections
  1. L’IA en entreprise sans cadre : l’usage existe déjà
  2. Trois risques que personne ne regarde
  3. L’AI Act, sans dramatiser
  4. Le bon réflexe n’est pas le cabinet d’avocats
  5. Par quoi commencer, concrètement
  6. Ce qu’il faut retenir

Dans la plupart des PME que j’accompagne, l’IA en entreprise sans cadre est déjà une réalité. Personne n’a décidé quoi que ce soit. Personne n’a interdit non plus. Un commercial s’est mis à rédiger ses relances avec ChatGPT. L’assistante de direction résume ses comptes rendus avec Claude. Le responsable atelier fait reformuler ses devis. Ça marche, ça gagne du temps, tout le monde est content. Et personne ne regarde ce qui se passe vraiment derrière.

C’est exactement là le sujet. Le danger n’est pas l’outil. Le danger, c’est l’usage invisible. Quand un dirigeant me dit “chez nous on n’utilise pas l’IA”, je lui pose une seule question : “vous en êtes sûr ?”. Dans neuf cas sur dix, la réponse change après qu’il a demandé à son équipe.

L’IA en entreprise sans cadre : l’usage existe déjà

Je le constate à chaque diagnostic. Les équipes ont adopté ces outils toutes seules, par curiosité ou par débrouille, bien avant que le dirigeant s’en préoccupe. Personne n’a rien demandé. Personne n’a rien encadré.

Prenons un cas concret. Dans une entreprise de menuiserie, le chargé d’affaires colle l’intégralité d’un appel d’offres dans ChatGPT pour gagner du temps sur la réponse. Le document contient les prix du client, les plans, parfois des informations qu’un concurrent paierait cher pour lire. Le chargé d’affaires ne fait rien de mal dans sa tête. Il rend service à l’entreprise, il va plus vite. Sauf qu’il vient d’envoyer des informations confidentielles sur un serveur dont il ne sait rien.

Ce n’est pas de la négligence. C’est l’absence de cadre. On n’a jamais dit à cette personne ce qu’elle pouvait coller et ce qu’elle devait garder pour elle. Comment lui en vouloir ?

Trois risques que personne ne regarde

Quand je creuse avec un dirigeant, trois risques reviennent toujours. Aucun n’est dramatique pris isolément. Ensemble, ils méritent qu’on s’y attarde dix minutes.

Premier risque : les données. Coller un fichier client, un contrat, une fiche de paie ou un fichier de prospection dans un outil grand public, c’est sortir des données de l’entreprise sans le savoir. Dans la version gratuite de beaucoup d’outils, ce que vous tapez peut servir à entraîner le modèle. Concrètement : une information sensible peut ressortir ailleurs. C’est le sujet du Règlement général sur la protection des données, le RGPD, dès qu’il s’agit de données personnelles (un nom, un email, un numéro de téléphone client suffit).

Deuxième risque : la qualité. L’IA invente parfois. On appelle ça une “hallucination” : l’outil produit une réponse fausse avec un aplomb parfait. Un chiffre, une référence légale, une caractéristique technique qui n’existe pas. Si personne ne vérifie, ça part chez le client tel quel. J’ai vu un devis citer une norme qui n’existait pas, sortie tout droit d’un texte généré. L’IA reproduit aussi les biais des données sur lesquelles elle a appris. Elle n’est ni neutre ni infaillible. Elle est rapide, c’est différent.

Troisième risque : la conformité. Depuis l’an dernier, un texte européen encadre l’usage de l’IA. On y revient juste après. L’idée à retenir : il existe des obligations, et la première concerne la formation de vos équipes.

L’AI Act, sans dramatiser

Mettons les faits au clair, parce que beaucoup circulent de travers. L’AI Act (le règlement européen sur l’intelligence artificielle, on dira “AI Act” par la suite) est le règlement (UE) 2024/1689. C’est le texte de référence pour tout le monde, du grand groupe à la TPE.

Son article 4 impose une obligation de littératie IA depuis le 2 février 2025. Littératie, ça veut dire que les personnes qui utilisent l’IA doivent comprendre ce qu’elles manipulent : ce que l’outil sait faire, ce qu’il ne sait pas faire, où sont les limites. Ce n’est pas un diplôme. C’est un niveau de bon sens minimum sur l’outil.

Maintenant, le point que je tiens à dire clairement, parce qu’on agite beaucoup la peur : il n’existe pas d’amende spécifique attachée à cet article 4. Les sanctions lourdes du texte visent les pratiques interdites et les systèmes à haut risque (notation sociale, reconnaissance biométrique de masse, ce genre de chose). Un artisan ou une PME qui fait rédiger des emails avec ChatGPT n’est pas dans cette catégorie. Personne ne va débarquer avec une amende à six chiffres parce que votre commercial utilise Claude.

Dernier point d’actualité, à manier avec prudence. Un accord de mai 2026, surnommé Digital Omnibus, propose d’alléger certaines obligations et de repousser les règles sur le haut risque à décembre 2027. C’est une proposition. Rien n’est encore publié au Journal officiel à ce jour. Donc on en tient compte pour ne pas sur-réagir, mais on ne construit rien dessus tant que ce n’est pas voté. J’ai détaillé ce calendrier dans un autre article du carnet : ce qui change vraiment en août 2026.

Le bon réflexe n’est pas le cabinet d’avocats

Quand un dirigeant découvre tout ça, sa première réaction est souvent de surdimensionner. Soit il veut tout interdire (et l’usage continue en cachette, ce qui est pire). Soit il imagine devoir appeler un cabinet d’avocats spécialisé et provisionner un budget.

Ni l’un ni l’autre. Le problème n’est pas juridique. C’est un problème d’usage. Et un problème d’usage se règle avec deux choses simples : une charte et une sensibilisation.

La charte d’usage, c’est une page. Pas un contrat de vingt pages. Une page qui dit ce qu’on a le droit de faire, ce qu’on ne fait pas, et quels outils on utilise. Trois exemples de règles concrètes :

  • Aucune donnée personnelle de client ni aucune information confidentielle dans un outil grand public gratuit. Si besoin de traiter ce type de donnée, on utilise un outil professionnel défini par l’entreprise.
  • Toute production de l’IA est relue par un humain avant d’être envoyée. L’IA propose, la personne décide.
  • En cas de doute sur ce qu’on peut coller ou pas, on demande au dirigeant avant.

Voilà. Ça tient sur une feuille, et ça couvre l’essentiel des trois risques. J’ai mis un modèle à disposition pour ne pas partir de zéro : le modèle de charte IA.

La sensibilisation, c’est l’autre moitié. Une charte que personne ne comprend ne sert à rien. Il faut une heure ou deux avec l’équipe pour expliquer pourquoi ces règles existent : montrer ce qu’est une hallucination en direct, montrer où vont les données dans la version gratuite, donner deux ou trois bons usages. C’est exactement ce que couvre l’obligation de littératie de l’article 4. En faisant ça, vous êtes en règle sur ce point, et vous gagnez surtout des équipes qui utilisent l’IA mieux.

Par quoi commencer, concrètement

Si vous lisez ça en vous disant “bon, faut que je m’en occupe”, voici l’ordre que je recommande. C’est simple et ça tient en une demi-journée étalée.

D’abord, regardez la réalité. Demandez à votre équipe, sans juger, qui utilise quoi et pour quelles tâches. L’objectif n’est pas de fliquer, c’est de voir. Vous serez surpris.

Ensuite, repérez le seul vrai point chaud : les données. Quelles informations ne doivent jamais sortir ? Fichiers clients, contrats, données de paie, fichier de prospection. C’est là que se joue 80 % du risque réel.

Puis posez la charte d’une page et faites la séance de sensibilisation. Pas l’inverse. Une règle qu’on a expliquée est une règle qu’on respecte.

Si vous voulez vérifier où vous en êtes par rapport au texte européen sans y passer la journée, j’ai préparé une checklist AI Act gratuite. Et si vous voulez aller plus loin sur le sujet, la page complète sur l’AI Act et la formation IA en PME reprend tout, calendrier et obligations comprises.

Le choix de l’outil compte aussi dans cette histoire de données. Tous ne se valent pas sur la confidentialité. J’en parle plus en détail dans ce comparatif entre Claude, ChatGPT et Mistral pour une PME.

Ce qu’il faut retenir

L’IA en entreprise sans cadre, ce n’est pas un sujet de demain. C’est déjà le cas chez vous, probablement. Le risque réel n’est pas l’amende qu’on agite pour faire peur. C’est plus terre à terre : des données qui sortent sans qu’on s’en rende compte, des réponses fausses prises pour vraies, une obligation de formation qu’on ignore.

Et la réponse est tout aussi terre à terre. Pas de cabinet d’avocats. Pas de logiciel à cent mille euros. Une charte d’une page, une séance de sensibilisation, et un dirigeant qui sait enfin ce qui se passe dans ses équipes.

Si vous ne savez pas par où démarrer, on peut faire le point ensemble lors d’un diagnostic gratuit de 30 minutes. On regarde votre usage réel, vos points chauds, et vous repartez avec les deux ou trois actions prioritaires. Sans jargon, sans peur, juste du concret.

Vous avez aimé cet article ? Le carnet sort une note régulière. Abonnez-vous au flux RSS, ou recevez la checklist AI Act gratuite qui vous mettra dans la boucle.

← Retour au carnet Réserver un diagnostic →

À lire aussi.