Les entreprises utilisent de plus en plus l'Intelligence Artificielle (IA) pour rédiger, résumer, assister les clients et analyser des documents. Pourtant, il n'existe pas aujourd'hui de guide unique, simple et opérationnel, qui rassemble à la fois les exigences de l'IA Act et celles du RGPD du point de vue des utilisateurs. Ce document répond à ce manque. Il propose un mode d'emploi concret, accessible à tous, qui permet d'utiliser l'IA en sécurité, d'éviter les erreurs et de prouver les bonnes pratiques. L'objectif est de sécuriser les usages, d'accélérer l'adoption utile et de réduire les risques juridiques, réputationnels et opérationnels.
Ce guide s'adresse d'abord aux dirigeants qui veulent comprendre rapidement les risques, les opportunités et les limites des usages de l'IA. Il s'adresse ensuite aux managers qui doivent déployer des cas d'usage concrets et installer des habitudes sûres au sein des équipes. Il s'adresse enfin à toutes les équipes utilisatrices qui ont besoin de savoir quoi faire tout de suite, ce qu'il ne faut pas faire et comment le prouver simplement. Les fonctions support (DPO, Qualité, Sécurité, IT) y trouvent un socle commun pour harmoniser les pratiques.
Ce guide donne dix réflexes d'usage sûrs et des listes de contrôle prêtes à l'emploi. Il fournit des mentions à copier-coller pour informer correctement les utilisateurs et les publics (par exemple "contenu assisté par IA" ou avertisseurs de chatbot). Il propose des modèles de preuves simples, comme un journal d'usage et une note de transparence. Il présente des cas d'usage par métier avec des garde-fous concrets. Il facilite l'audit et la montée en charge à l'échelle de l'organisation.
Le guide couvre les usages des utilisateurs au travail, qu'il y ait ou non des données personnelles. Il couvre aussi les achats d'outils IA courants, l'étiquetage des contenus générés et la tenue de preuves simples. En revanche, il ne détaille pas la construction de systèmes d'IA "maison" à haut risque ni la conformité technique complète des fournisseurs. Pour ces sujets, un accompagnement spécifique est nécessaire.
Les interdictions prévues par l'IA Act s'appliquent depuis le 2 février 2025. Les règles de transparence et les exigences pour les modèles d'Intelligence Artificielle à usage général (GPAI) s'appliquent depuis le 2 août 2025. Les obligations pour les systèmes à haut risque démarrent à partir du 2 août 2026, avec une montée en charge jusqu'en 2027. Le RGPD, lui, continue de s'appliquer sur ses fondamentaux : finalité, minimisation, base légale, droits des personnes et sécurité.
L'humain reste responsable et valide les contenus avant diffusion. Les utilisateurs ne doivent pas saisir de données inutiles et doivent éviter les données sensibles, sauf cadre strict. L'usage de l'IA doit être transparent lorsque cela est pertinent, grâce à des mentions claires. Les faits importants doivent être vérifiés avant utilisation. Les outils approuvés doivent être privilégiés et la sécurité doit être assurée. Les équipes doivent conserver des preuves simples de leurs usages. Enfin, l'Intelligence Artificielle doit rester au service d'un besoin réel et proportionné.
Vous y trouverez des listes de contrôle prêtes à cocher pour les utilisateurs et les managers. Vous y trouverez des mentions prêtes à copier pour les pages web, les emails, les chatbots et les médias. Vous y trouverez des modèles de preuves simples, comme le journal d'usage et la note de transparence. Vous y trouverez aussi des cas d'usage par métier avec des garde-fous concrets. Vous y trouverez enfin des cas d'usage "safe-by-design" par métier, une charte courte en dix règles d'or et un mémo de deux pages pour un usage quotidien.
Commencez par décrire votre cas d'usage en une phrase claire (objectif, livrable et données). Vérifiez ensuite la checklist utilisateur et, si vous traitez des données personnelles, complétez la checklist RGPD. Si le cas d'usage a un impact important, prévoyez une relecture humaine obligatoire. Informez les personnes concernées en appliquant la mention adaptée. Conservez enfin une trace dans le journal d'usage et, si nécessaire, rédigez une note de transparence. Remontez les incidents et améliorez vos prompts au fil de l'eau.
L'utilisateur applique la checklist, évite les données sensibles, signale l'usage d'IA lorsque c'est nécessaire et tient le journal d'usage. Le manager valide le cas d'usage, organise la relecture humaine, suit les indicateurs et met à jour le registre des cas d'usage. Le DPO ou le service juridique conseille sur la base légale, l'information des personnes et la conduite d'une AIPD si elle est requise. L'IT et la Sécurité approuvent les outils, configurent la journalisation et les options de non-réutilisation pour l'entraînement lorsque c'est possible. La Qualité ou la Conformité anime les revues périodiques et consolide les preuves.
Ce guide est un document opérationnel destiné aux clients d'EVAVEO / EVALEARN et à leurs équipes. Il apporte des repères concrets pour utiliser l'IA en sécurité et en conformité, au regard de l'IA Act et du RGPD, grâce à des checklists, des mentions prêtes à copier, des modèles de preuves et des cas d'usage par métier.
Ce guide n'est pas un avis juridique ni un manuel de conformité fournisseur. Il ne remplace pas vos politiques internes. Les décisions finales de conformité relèvent de votre organisation, avec l'appui de votre DPO, de votre service juridique et de vos équipes Sécurité/IT.
Lorsque votre cas d'usage implique des données personnelles ou un impact significatif, réalisez une relecture humaine systématique, tenez un journal d'usage et, si nécessaire, rédigez une note de transparence. Si le cas d'usage bascule dans la catégorie "haut risque" au sens de l'IA Act, appliquez les processus spécifiques (analyse d'impact, documentation, essais, supervision) et sollicitez vos référents internes.
Ce document est vivant. Il sera mis à jour en fonction des textes d'application, des bonnes pratiques et des retours terrain. La version de référence est indiquée en en-tête du guide ; en cas de divergence avec vos procédures internes, vos procédures prévalent.
Vous voulez obtenir le guide complet et les outils prescrits ? Ils vous seront remis dans le cadre de nos prestations de conseil ou de formation décrites ci-dessous. N’hésitez pas à vous inscrire.