Mode visiteur Parcours public

IA-18

IA, gouvernance, conformité et usage en entreprise

IA professionnelle, cybersécurité, infrastructure et IA locale · Avancé

Disponible

Rafiq IA Lab

IA-18 — IA, gouvernance, conformité et usage en entreprise

---

1. Titre du module

IA-18 — IA, gouvernance, conformité et usage en entreprise

Partie 4 — IA professionnelle, cybersécurité, infrastructure et IA locale (module de clôture)

---

2. Objectif pédagogique

À la fin de ce module, l'apprenant doit être capable de :

  • expliquer pourquoi une entreprise doit encadrer l'usage de l'IA ;
  • comprendre les briques d'une politique interne : classification des données, gestion des accès, validation humaine, traçabilité, gestion des risques ;
  • relier l'usage de l'IA à la conformité (RGPD, IA Act, expliqués simplement) ;
  • appliquer la sécurité des prompts et des sorties générées ;
  • comprendre la gestion des clés API et des coûts ;
  • arbitrer entre IA cloud, IA locale et IA privée ;
  • sensibiliser les utilisateurs et bâtir une charte IA interne ;
  • distinguer usage autorisé / interdit / nécessitant validation ;
  • rédiger une mini-charte d'utilisation responsable pour une petite équipe IT.

Prérequis : IA-15 (IA locale), IA-16 (sécurité défensive) et surtout IA-17 (risques, RGPD, IA Act, données sensibles), dont ce module est le prolongement organisationnel.

---

3. Niveau

Professionnel.

Module de clôture de la Partie 4. Il passe de la responsabilité individuelle (IA-17) à l'encadrement collectif : comment une équipe ou une entreprise utilise l'IA de façon sûre et conforme.

---

4. Durée estimée

Activité Durée indicative
Lecture du cours 50 à 60 minutes
Cas pratique guidé (mini-charte) 35 minutes
Exercice à faire seul 20 minutes
Quiz + flashcards de révision 20 minutes
Mini-projet de fin de module 35 minutes
Total réaliste environ 2h50

---

5. Résumé clair et simple

Quand une seule personne utilise l'IA, elle applique ses propres précautions (IA-17). Mais dans une entreprise, beaucoup de personnes utilisent l'IA, avec des données variées et des niveaux de vigilance différents. Sans cadre commun, les risques se multiplient : quelqu'un colle des données clients dans un assistant cloud, un autre applique une réponse non vérifiée en production, un troisième laisse fuiter une clé API. La gouvernance sert à encadrer tout cela.

Encadrer l'usage de l'IA, c'est mettre en place une politique interne : quelles données peuvent être utilisées avec quelle IA (classification des données), qui a le droit d'utiliser quoi (gestion des accès), quand une validation humaine est obligatoire, comment on trace les usages, et comment on gère les risques. Le tout doit être conforme : RGPD pour les données personnelles, IA Act pour les usages selon leur niveau de risque (IA-17).

S'ajoutent des points techniques : sécuriser les prompts (ne pas y mettre de secrets), vérifier les sorties générées (qui peuvent être fausses ou inappropriées), protéger les clés API, et maîtriser les coûts. Un choix structurant revient souvent : cloud, local ou privé ? — un arbitrage entre puissance, confidentialité et maîtrise.

L'outil concret de la gouvernance, c'est la charte IA interne : un document simple qui dit ce qui est autorisé, interdit, ou soumis à validation, et qui sensibilise les utilisateurs. Ce module se termine par la création guidée d'une mini-charte pour une petite équipe IT — un livrable directement réutilisable. En résumé : bien gouverner l'IA, c'est permettre à toute une équipe d'en tirer profit sans exposer l'entreprise.

---

6. Compétences visées

À l'issue de ce module, l'apprenant saura :

  • justifier l'encadrement de l'IA en entreprise et en décrire les briques ;
  • relier usage de l'IA et conformité (RGPD, IA Act) ;
  • appliquer la sécurité des prompts et des sorties générées ;
  • gérer clés API et coûts au niveau organisationnel ;
  • arbitrer entre IA cloud, locale et privée selon les enjeux ;
  • sensibiliser les utilisateurs et structurer une charte interne ;
  • classer les usages (autorisé / interdit / validation) et rédiger une mini-charte.

---

7. Notions clés à comprendre

  • Gouvernance de l'IA : ensemble des règles et processus encadrant l'usage de l'IA dans une organisation.
  • Politique interne : document définissant les règles d'usage de l'IA.
  • Classification des données : catégoriser les données (publiques / internes / confidentielles / sensibles) pour décider de leur usage avec l'IA.
  • Gestion des accès : qui peut utiliser quel outil, avec quelles données.
  • Traçabilité : capacité à savoir qui a fait quoi, quand (journalisation).
  • Gestion des risques : identifier, évaluer et réduire les risques liés à l'IA.
  • Sécurité des prompts : éviter de mettre des secrets/données sensibles dans les demandes.
  • Sécurité des sorties : vérifier et encadrer ce que l'IA produit avant usage/diffusion.
  • Clé API : identifiant secret pour accéder à une API (à protéger — IA-19).
  • IA cloud / locale / privée : trois modes de déploiement aux compromis différents.
  • Charte IA interne : document court fixant les règles d'usage pour les utilisateurs.

---

8. Cours complet structuré

8.1 — Pourquoi encadrer l'usage de l'IA en entreprise

À l'échelle d'une organisation, les risques individuels (IA-17) se multiplient et se diversifient :

  • fuite de données (clients, RH, secrets) via des assistants cloud ;
  • non-conformité (RGPD, IA Act) ;
  • décisions erronées fondées sur des réponses non vérifiées ;
  • coûts d'API non maîtrisés ;
  • usages inappropriés (contenu sensible, contournement de règles).

Sans cadre, chacun fait « à sa manière ». La gouvernance crée un socle commun : tout le monde peut profiter de l'IA, dans des limites claires. Bien gouvernée, l'IA est un atout ; mal encadrée, c'est un risque pour l'entreprise.

8.2 — La politique interne d'usage de l'IA

Une politique interne répond à des questions simples :

  • Quels outils d'IA sont autorisés ? (et lesquels sont interdits ?)
  • Quelles données peut-on utiliser avec quel outil ?
  • Qui peut utiliser l'IA, pour quoi ?
  • Quand faut-il une validation humaine ?
  • Comment trace-t-on les usages ?
  • Que faire en cas d'incident (fuite, erreur) ?

Elle se décline ensuite en un document court et lisible : la charte (8.10).

8.3 — Classification des données

C'est la clé de voûte. On catégorise les données pour décider de leur usage avec l'IA :

  • Publiques : librement utilisables.
  • Internes : usage interne, prudence avec le cloud.
  • Confidentielles : usage restreint, anonymisation ou IA locale/privée.
  • Sensibles / personnelles (RGPD) : protection maximale ; souvent interdites en IA cloud sans cadre strict.

Sans classification, impossible de dire « ces données peuvent aller dans l'IA, celles-là non ». C'est le fondement de toute la charte.

8.4 — Gestion des accès et validation humaine

  • Gestion des accès : tout le monde n'a pas besoin du même outil ni des mêmes données. On applique le moindre privilège : chacun a accès au strict nécessaire.
  • Validation humaine : pour les actions à conséquence (réponse client, décision RH, action de sécurité, diffusion publique), une personne compétente valide avant exécution. L'IA prépare, l'humain décide.

8.5 — Traçabilité et gestion des risques

  • Traçabilité : journaliser les usages sensibles (qui, quoi, quand, avec quelles données) pour la sécurité, la conformité et l'amélioration.
  • Gestion des risques : identifier les risques (fuite, erreur, coût, biais), les évaluer (probabilité × impact) et définir des mesures (anonymisation, IA locale, validation, plafonds de coût). C'est un processus continu, pas une case à cocher.

8.6 — Conformité : RGPD et IA Act (rappel simple)

  • RGPD (IA-17) : tout traitement de données personnelles par l'IA doit avoir une base légale, respecter la minimisation, la sécurité et les droits des personnes. En entreprise, cela implique de savoir quelles données partent vers quel service.
  • IA Act (IA-17) : encadrement par niveau de risque (inacceptable / élevé / limité / minimal). Selon l'usage, des obligations s'appliquent (transparence, supervision humaine, documentation…).

À vérifier avant publication : les obligations et calendriers précis du RGPD appliqué à l'IA et de l'IA Act évoluent ; pour une mise en conformité réelle, consulter les sources officielles (CNIL, textes européens) et, si besoin, un professionnel qualifié. Ce module donne le cadre, pas un conseil juridique.

8.7 — Sécurité des prompts et des sorties générées

  • Sécurité des prompts : un prompt peut contenir, par mégarde, des secrets ou des données sensibles. Règle : ne jamais y mettre la liste rouge (IA-17). Attention aussi aux injections de prompt (du contenu externe qui tente de détourner l'IA) — d'où l'importance de filtrer les entrées (rappel IA-13).
  • Sécurité des sorties : ce que l'IA produit peut être faux, biaisé, inapproprié ou contenir des éléments à ne pas diffuser. On vérifie (IA-09) et on valide avant usage ou publication. Une sortie n'est pas « sûre » par défaut.

8.8 — Gestion des clés API et des coûts

  • Clés API (IA-19) : ce sont des secrets. Elles doivent être stockées correctement (jamais en clair dans le code ou un prompt), avec des permissions limitées, et révocables. Une clé qui fuite peut entraîner des coûts et des fuites de données.
  • Coûts : l'IA cloud se facture souvent à l'usage (tokens, IA-04/IA-19). Sans suivi, les coûts dérapent (workflows trop fréquents, IA-13). Bonnes pratiques : plafonds, alertes, suivi de consommation, choix d'un modèle adapté au besoin.

8.9 — Choisir entre IA cloud, IA locale et IA privée

Mode Où tournent les données Confidentialité Puissance Coût Quand l'envisager
Cloud (public) Chez l'éditeur À encadrer Très élevée À l'usage Données non sensibles, besoin de puissance
Locale (IA-15) Sur votre machine Très forte Limitée par le matériel Matériel/électricité Données sensibles, hors ligne, apprentissage
Privée Déploiement dédié (ex. instance privée/cloud privé, sans réutilisation pour l'entraînement) Forte (contractuelle/technique) Élevée Plus coûteux à mettre en place Entreprise voulant puissance et contrôle des données

Il n'y a pas de « bon » choix universel : on arbitre selon la sensibilité des données, le besoin de puissance, le budget et les contraintes de conformité. Beaucoup d'organisations mixent : cloud pour le non-sensible, local/privé pour le sensible.

8.10 — Sensibilisation et charte IA interne

  • Sensibilisation : la meilleure charte est inutile si personne ne la connaît. Former et rappeler régulièrement les risques (IA-17) est essentiel.
  • Charte IA interne : un document court et clair qui précise :
  • les outils autorisés ;
  • les données autorisées / interdites (selon la classification) ;
  • les usages autorisés, interdits, ou soumis à validation ;
  • les règles de vérification et de validation humaine ;
  • la conduite à tenir en cas d'incident.

8.11 — Usage autorisé, interdit, soumis à validation (exemples)

  • Autorisé : reformuler un texte non sensible, résumer une doc publique, s'aider pour apprendre, brouillonner un script à tester en lab.
  • Interdit : coller des données personnelles/clients/RH/médicales/financières dans une IA cloud ; transmettre des secrets ; diffuser une sortie non vérifiée comme officielle.
  • Soumis à validation : utiliser une réponse IA dans un livrable client, appliquer un script en production, prendre une décision à impact, publier un contenu généré.

Ces trois catégories sont le cœur d'une charte : elles donnent un repère immédiat aux utilisateurs.

---

9. Exemples concrets liés au monde IT

  1. Classification appliquée. Une équipe décide : tickets anonymisés → IA cloud autorisée ; dossiers clients → IA locale uniquement ; secrets → jamais.
  2. Clé API protégée. Les clés sont stockées dans un coffre (jamais dans le code), avec permissions limitées et rotation (IA-19).
  3. Plafond de coût. Un workflow n8n (IA-13) est limité en nombre d'appels/jour, avec alerte au-delà.
  4. Validation humaine. Toute réponse support générée par IA est relue avant envoi au client.
  5. Choix privé. Une PME choisit un déploiement privé pour traiter des données internes avec de la puissance, sans les exposer publiquement.
  6. Sécurité des sorties. Un rapport généré par IA est vérifié (faits, références) avant diffusion (IA-09, IA-16).
  7. Sensibilisation. Un rappel mensuel et une charte d'une page réduisent les usages risqués dans l'équipe.

Constante : la gouvernance transforme des pratiques individuelles disparates en règles communes sûres.

---

10. Cas pratique guidé — Créer une mini-charte d'utilisation responsable de l'IA pour une petite équipe IT

Objectif : produire une mini-charte d'une page, claire et applicable.

Contexte. Vous êtes dans une petite équipe IT (support + systèmes). Plusieurs personnes utilisent déjà des assistants IA, sans règles communes. Vous rédigez une mini-charte.

Étape 1 — Classifier les données (8.3). Définissez 3-4 catégories simples : Publiques / Internes / Confidentielles / Sensibles (personnelles). Donnez un exemple par catégorie (ex. doc publique / procédure interne / config réseau / données RH).

Étape 2 — Définir les outils autorisés. Indiquez quels assistants/outils sont autorisés et lesquels sont interdits (ou à éviter). Précisez quand utiliser une IA locale (IA-15) ou privée.

Étape 3 — Classer les usages (8.11). Listez des usages autorisés, interdits, et soumis à validation, adaptés à votre équipe.

Étape 4 — Poser les règles de données. Rappelez la liste rouge (IA-17), la minimisation et l'anonymisation. Une phrase claire : « Aucune donnée personnelle, RH, client ou secret dans une IA cloud. »

Étape 5 — Vérification, validation, traçabilité. Précisez : toute sortie est vérifiée (IA-09) ; les actions à impact passent par une validation humaine ; les usages sensibles sont journalisés.

Étape 6 — Conduite en cas d'incident. Indiquez quoi faire si une donnée sensible a été envoyée par erreur (qui prévenir, révoquer une clé API, etc.).

Étape 7 — Mettre en forme et faire valider. Rassemblez le tout sur une page, en langage simple. Faites-la relire par l'équipe et un responsable.

Résultat du cas pratique : une mini-charte concrète, lisible, que l'équipe peut adopter immédiatement.

---

11. Exercice pratique à faire seul

Consigne. Rédigez la section « usages » d'une charte IA pour votre contexte. Produisez trois listes :

  1. Usages autorisés (au moins 4) ;
  2. Usages interdits (au moins 4) ;
  3. Usages soumis à validation (au moins 3).

Puis ajoutez :

  1. une règle de classification des données (2-3 catégories avec exemples) ;
  2. une phrase « liste rouge » (ce qui ne va jamais dans une IA cloud) ;
  3. une règle de validation humaine et une règle de traçabilité.

Contexte. Vous produisez la brique centrale d'une charte interne.

Résultat attendu. Les trois listes + les règles complémentaires.

Critères de réussite :

  • les trois catégories d'usages sont claires et réalistes ;
  • la classification des données est exploitable ;
  • la phrase « liste rouge » est explicite ;
  • validation humaine et traçabilité sont précisées ;
  • l'ensemble est compréhensible par un non-spécialiste.

---

12. Quiz de 10 questions QCM

Une seule bonne réponse par question.

Q1. Pourquoi encadrer l'usage de l'IA en entreprise ?

  • A. Pour interdire l'IA
  • B. Parce que les risques individuels se multiplient et se diversifient à l'échelle de l'organisation
  • C. Pour ralentir le travail
  • D. Ce n'est pas nécessaire

Q2. Quelle est la « clé de voûte » de la gouvernance des données IA ?

  • A. La couleur de la charte
  • B. La classification des données
  • C. Le nombre d'employés
  • D. Le choix du logiciel de bureau

Q3. Que signifie le principe du moindre privilège ?

  • A. Donner tous les accès à tout le monde
  • B. Donner à chacun le strict nécessaire
  • C. Interdire tout accès
  • D. Choisir le moins cher

Q4. Une sortie générée par l'IA est-elle « sûre » par défaut ?

  • A. Oui, toujours
  • B. Non : elle doit être vérifiée et validée avant usage/diffusion
  • C. Oui, si elle est longue
  • D. Oui, si elle est en tableau

Q5. Comment doit-on gérer une clé API ?

  • A. La coller dans le code et les prompts
  • B. La stocker correctement, avec permissions limitées, révocable
  • C. La partager publiquement
  • D. L'ignorer

Q6. Pourquoi suivre les coûts d'API ?

  • A. Ce n'est pas utile
  • B. Parce que l'usage cloud se facture et peut déraper sans suivi
  • C. Parce que l'API est gratuite
  • D. Pour ralentir les workflows

Q7. Qu'est-ce qu'une IA « privée » ?

  • A. Une IA gratuite
  • B. Un déploiement dédié offrant puissance et contrôle des données, sans exposition publique
  • C. Une IA sans modèle
  • D. Une IA réservée aux particuliers

Q8. Quel usage est typiquement « soumis à validation » ?

  • A. Reformuler un texte public
  • B. Utiliser une réponse IA dans un livrable client ou l'appliquer en production
  • C. Apprendre une notion
  • D. Résumer une doc publique

Q9. Que doit contenir une charte IA interne ?

  • A. Le code source du site
  • B. Les outils autorisés, les données autorisées/interdites, les usages (autorisé/interdit/validation)
  • C. La maquette graphique
  • D. Le budget marketing

Q10. Sur quoi repose le choix cloud / local / privé ?

  • A. Le hasard
  • B. La sensibilité des données, le besoin de puissance, le budget et la conformité
  • C. La couleur du logo
  • D. La taille de l'écran

---

13. Réponses corrigées du quiz avec explications

Q1 → B. À l'échelle de l'organisation, les risques se multiplient : il faut un cadre commun. A, C et D sont faux.

Q2 → B. La classification des données est la clé de voûte : elle détermine ce qui peut aller où. Les autres réponses sont hors sujet.

Q3 → B. Le moindre privilège = donner à chacun le strict nécessaire. A est l'inverse, C et D sont faux.

Q4 → B. Une sortie n'est pas sûre par défaut : on vérifie et on valide. A, C et D sont faux.

Q5 → B. Une clé API se stocke correctement, avec permissions limitées et révocation. A, C et D exposent le secret.

Q6 → B. L'usage cloud se facture et peut déraper sans suivi. A et C sont faux, D hors sujet.

Q7 → B. Une IA privée = déploiement dédié, puissance + contrôle des données, sans exposition publique. Les autres réponses sont fausses.

Q8 → B. Livrable client / mise en production sont soumis à validation. A, C et D sont des usages courants autorisés.

Q9 → B. Une charte précise outils, données et usages (autorisé/interdit/validation). A, C et D sont hors sujet.

Q10 → B. Le choix dépend de la sensibilité, de la puissance, du budget et de la conformité. Les autres réponses sont absurdes.

Barème indicatif : 8/10 ou plus = notions acquises. 5 à 7 = relisez les sections 8.3, 8.9 et 8.11. Moins de 5 = reprenez le cours et rédigez une mini-charte.

---

14. Flashcards de révision

Carte 1 Q : Pourquoi encadrer l'IA en entreprise ? R : Parce que les risques individuels se multiplient à l'échelle de l'organisation ; il faut un cadre commun.

Carte 2 Q : Clé de voûte de la gouvernance des données IA ? R : La classification des données (publiques / internes / confidentielles / sensibles).

Carte 3 Q : Principe du moindre privilège ? R : Donner à chacun le strict nécessaire en accès.

Carte 4 Q : Une sortie d'IA est-elle sûre par défaut ? R : Non : il faut la vérifier et la valider avant usage/diffusion.

Carte 5 Q : Comment gérer une clé API ? R : La stocker correctement, permissions limitées, révocable ; jamais en clair ni dans un prompt.

Carte 6 Q : Pourquoi suivre les coûts d'API ? R : Parce que l'usage cloud se facture et peut déraper sans suivi.

Carte 7 Q : Trois modes de déploiement de l'IA ? R : Cloud (public), locale (sur votre machine), privée (déploiement dédié).

Carte 8 Q : Qu'est-ce qu'une IA privée ? R : Un déploiement dédié offrant puissance et contrôle des données, sans exposition publique.

Carte 9 Q : Les trois catégories d'usages d'une charte ? R : Autorisé / Interdit / Soumis à validation.

Carte 10 Q : Exemple d'usage soumis à validation ? R : Utiliser une réponse IA dans un livrable client ou l'appliquer en production.

Carte 11 Q : Que contient une charte IA interne ? R : Outils autorisés, données autorisées/interdites, usages, règles de vérification/validation, conduite en cas d'incident.

Carte 12 Q : Sur quoi repose le choix cloud/local/privé ? R : Sensibilité des données, besoin de puissance, budget, conformité.

---

15. Erreurs fréquentes

  • Ne pas encadrer du tout : chacun fait « à sa manière », les risques explosent.
  • Pas de classification des données : impossible de dire ce qui peut aller où.
  • Donner trop d'accès (pas de moindre privilège).
  • Considérer les sorties IA comme sûres par défaut.
  • Mal gérer les clés API (en clair, permissions trop larges).
  • Ne pas suivre les coûts d'API.
  • Charte trop longue ou jamais communiquée (donc inutile).
  • Oublier la conduite en cas d'incident (fuite, erreur).

---

16. Bonnes pratiques

  • Mettre en place une politique et une charte claires et courtes.
  • Classer les données et définir ce qui va vers quel type d'IA.
  • Appliquer le moindre privilège et la validation humaine sur les actions à impact.
  • Tracer les usages sensibles ; gérer les risques en continu.
  • Sécuriser prompts et sorties ; protéger les clés API ; plafonner les coûts.
  • Arbitrer cloud / local / privé selon les enjeux.
  • Sensibiliser régulièrement les utilisateurs.
  • Recouper la conformité (RGPD, IA Act) avec les sources officielles / un professionnel (IA-17).

---

17. Point vigilance : limites, risques, sécurité et vérification humaine

Bloc obligatoire à lire attentivement.

Ce qu'il faut vérifier :

  • que la classification des données est connue et appliquée ;
  • que les accès suivent le moindre privilège ;
  • que les sorties sont vérifiées et validées avant usage ;
  • que la conformité (RGPD, IA Act) est respectée et à jour (sources officielles).

Ce qu'il ne faut pas faire :

  • déployer l'IA en entreprise sans cadre ;
  • laisser circuler des clés API mal protégées ;
  • considérer une sortie générée comme fiable ou diffusable par défaut ;
  • traiter la conformité comme une case à cocher figée.

Risques de mauvaise utilisation :

  • fuite de données à grande échelle ; non-conformité ;
  • coûts d'API incontrôlés ; décisions erronées validées par habitude ;
  • charte ignorée faute de sensibilisation.

Risques de confidentialité :

  • multiplication des points de fuite (plusieurs utilisateurs, plusieurs outils) ;
  • la classification et l'arbitrage cloud/local/privé sont les principaux remparts ;
  • détails RGPD/IA Act : module IA-17 ; données sensibles : IA-17 ; IA locale : IA-15.

Limites de la gouvernance :

  • une charte ne protège que si elle est connue, comprise et appliquée ;
  • la gouvernance réduit les risques, elle ne les supprime pas ;
  • elle ne remplace pas un conseil juridique pour les cas complexes.

Cas où une validation humaine est indispensable :

  • toute décision à impact (client, RH, sécurité, finances) ;
  • toute diffusion publique d'un contenu généré ;
  • tout traitement de données personnelles/sensibles.

Principe à retenir : bien gouverner l'IA, c'est permettre à toute une équipe d'en tirer profit sans exposer l'entreprise. Classification, accès, validation, traçabilité, conformité, sensibilisation : ce sont les piliers. Pour les détails de risques/conformité, voir IA-17.

---

18. Mini-projet de fin de module

Titre : « Charte IA interne d'une page pour mon équipe »

Objectif. Produire une charte IA interne complète, d'une page, prête à être proposée à une vraie équipe IT.

Contexte. Vous formalisez la gouvernance IA d'une petite équipe. Ce projet réutilise la liste rouge et la checklist d'IA-17, et clôt la Partie 4.

Prérequis. Avoir lu le cours (section 8) ; maîtriser IA-17.

Étapes :

  1. Définir la classification des données (3-4 catégories avec exemples).
  2. Lister les outils autorisés (cloud / local / privé) et les interdits.
  3. Rédiger les trois listes d'usages (autorisé / interdit / soumis à validation).
  4. Écrire la phrase « liste rouge » (ce qui ne va jamais en IA cloud).
  5. Poser les règles : vérification (IA-09), validation humaine, traçabilité, protection des clés API, plafonds de coût.
  6. Ajouter la conduite en cas d'incident (fuite, erreur).
  7. Mettre en page sur une seule page, en langage simple, et prévoir un plan de sensibilisation (comment la faire connaître).

Résultat attendu. Une charte IA interne d'une page, claire et applicable.

Critères de réussite :

  • classification claire ;
  • outils et usages bien catégorisés ;
  • liste rouge explicite ;
  • règles de vérification, validation, traçabilité, clés API et coûts présentes ;
  • conduite en cas d'incident incluse ;
  • document court, lisible par tous, avec plan de sensibilisation.

Amélioration possible. Ajoutez une version « affiche » résumant les 5 règles d'or en quelques lignes, à afficher dans l'équipe — la sensibilisation est ce qui fait vivre une charte.

---

19. Ressources gratuites recommandées

Ne recommander que des ressources gratuites ou accessibles gratuitement. Toute ressource dont la gratuité ou la disponibilité n'est pas certaine est signalée par la mention « À vérifier avant publication. »

  • CNILcnil.fr — source officielle gratuite sur le RGPD, la protection des données et l'IA ; propose des recommandations utiles pour encadrer l'usage de l'IA. (Gratuit, source officielle ; vérifier les pages récentes.)
  • Sources officielles sur l'IA Act (textes européens, autorités compétentes) — pour les obligations et le calendrier à jour. À vérifier avant publication (le sujet évolue ; consulter les sources officielles).
  • ANSSIcyber.gouv.fr — bonnes pratiques de sécurité et de gestion des accès, utiles pour une politique interne. À vérifier avant publication (vérifier les guides).
  • IA locale et privée (voir IA-15) — pour les usages où la confidentialité prime. À vérifier avant publication (voir IA-15).
  • Documentation des fournisseurs d'API (conditions de traitement des données, options entreprise) — pour comprendre comment vos données sont traitées. À vérifier avant publication (conditions variables ; lire attentivement).

Remarque : ce module donne un cadre de gouvernance, pas un conseil juridique. Pour une mise en conformité réelle, appuyez-vous sur les sources officielles et, si besoin, un professionnel. Ce module ne promet aucune certification.

---

20. Résumé final du module

  • À l'échelle d'une entreprise, les risques de l'IA se multiplient : il faut une gouvernance (cadre commun).
  • Briques d'une politique interne : classification des données (clé de voûte), gestion des accès (moindre privilège), validation humaine, traçabilité, gestion des risques.
  • Conformité : RGPD (données personnelles) et IA Act (par niveau de risque) — détails à vérifier auprès des sources officielles (IA-17).
  • Points techniques : sécurité des prompts et des sorties, gestion des clés API (secrets à protéger), maîtrise des coûts.
  • Arbitrage cloud / locale / privée selon sensibilité, puissance, budget et conformité ; beaucoup d'organisations mixent.
  • Outil concret : la charte IA interne (outils, données, usages autorisé / interdit / soumis à validation) + sensibilisation.
  • Fin de la Partie 4 : bien gouverner l'IA, c'est permettre à toute une équipe d'en profiter sans exposer l'entreprise. Risques/conformité détaillés : IA-17 ; IA locale : IA-15 ; sécurité : IA-16.

---

21. Validation demandée avant le module suivant

Validation demandée avant le module suivant

Souhaites-tu que je passe au module suivant ou que je corrige/améliore ce module d'abord ?

(Fin de la Partie 4. Module suivant prévu : IA-19 — Comprendre les API IA, début de la Partie 5.)