L’IA générative s’est imposée dans les pratiques professionnelles à une vitesse inédite. Rédaction de courriels, résumés de réunions, génération de comptes rendus, traduction, production de code, exploitation de données : ChatGPT, Claude, Copilot, Gemini et leurs équivalents sont aujourd’hui utilisés par une part croissante des salariés, souvent en dehors de tout cadre formalisé. Cette banalisation des usages s’accompagne de risques juridiques significatifs pour l’employeur, dans un contexte réglementaire en pleine structuration. La question de la charte d’utilisation de l’IA, longtemps perçue comme accessoire, devient centrale.
Un encadrement juridique en construction rapide
Trois corpus se superposent.
Le règlement (UE) 2024/1689 du 13 juin 2024, dit AI Act, est entré en vigueur le 1er août 2024 selon un calendrier échelonné. Depuis le 2 février 2025, les pratiques interdites (manipulation cognitive, scoring social, certaines formes de reconnaissance biométrique) sont prohibées et l’article 4 impose à tout déployeur de systèmes d’IA, dont l’employeur, de garantir un niveau suffisant de « maîtrise de l’IA » (AI literacy) chez les personnels concernés. Depuis le 2 août 2025, les obligations applicables aux modèles d’IA à usage général sont effectives. Au 2 août 2026, les exigences applicables aux systèmes à haut risque, notamment ceux utilisés dans les domaines de l’emploi (recrutement, évaluation, décisions de gestion de carrière), entreront pleinement en application.
Le RGPD continue de s’appliquer dès lors que des données personnelles sont saisies dans un outil d’IA générative, ce qui est presque systématiquement le cas dans un usage professionnel.
Le droit du travail encadre, quant à lui, les conditions d’introduction de l’IA dans l’entreprise, l’opposabilité des règles d’usage aux salariés et la protection du secret des affaires.
La charte IA : un outil de gouvernance, pas une obligation autonome
Aucun texte n’impose, en tant que tel, la rédaction d’une charte d’utilisation de l’IA. Une telle charte demeure un acte d’organisation interne propre à chaque entreprise. Pour autant, elle constitue aujourd’hui l’outil de référence pour répondre simultanément à plusieurs exigences : informer les salariés, formaliser les usages autorisés, prévenir les risques de fuite de données et fonder la responsabilisation des utilisateurs.
Sa rédaction permet notamment de cartographier les outils admis, de définir les types de données qui peuvent ou non être saisies dans les modèles, d’organiser la supervision humaine sur les contenus générés, de prévoir les règles de transparence vis-à-vis des clients et partenaires lorsque des contenus sont produits avec assistance IA, et de fixer le régime applicable en cas de manquement.
L'articulation avec le contrat de travail ou le règlement intérieur : la condition de l'opposabilité
Une charte non articulée au contrat de travail ou au règlement intérieur a une portée limitée : elle constitue un document de bonnes pratiques, mais ne peut pas, à elle seule, fonder une sanction disciplinaire en cas de manquement.
Pour être pleinement opposable aux salariés sur le terrain disciplinaire, la charte doit être annexée au contrat de travail ou annexée au règlement intérieur, ou intégrée à celui-ci, selon la procédure de l’article L. 1321-4 du Code du travail : consultation préalable du comité social et économique (CSE), communication à l’inspecteur du travail, dépôt au greffe du conseil de prud’hommes et information des salariés.
Une articulation par voie de note de service est également envisageable lorsque la charte porte sur des prescriptions générales et permanentes en matière d’hygiène, de sécurité ou de discipline, à condition de respecter les mêmes formalités.
L'obligation de consulter le CSE
L’article L. 2312-8 du Code du travail impose à l’employeur de consulter le CSE en cas d’introduction de nouvelles technologies susceptibles d’affecter les conditions de travail. La jurisprudence récente confirme l’application de cette obligation à l’IA. Le tribunal judiciaire de Nanterre a ainsi suspendu, par une ordonnance du 14 février 2025, le déploiement d’un outil d’IA dans une entreprise faute de consultation préalable du comité, qualifiant la situation de trouble manifestement illicite.
Cette obligation concerne tant le déploiement d’outils internes spécifiques que la généralisation d’outils grand public au sein de l’entreprise dès lors qu’ils modifient les méthodes de travail.
Le contenu type d'une charte IA
Une charte structurée couvre habituellement plusieurs blocs.
Le périmètre : outils autorisés, outils interdits, distinction entre versions gratuites et versions entreprise, règles applicables aux outils intégrés à des suites bureautiques.
Les données : interdiction de saisir des données personnelles non anonymisées, des données couvertes par le secret professionnel, des informations relevant du secret des affaires, des données clients, des données financières non publiques ou des éléments couverts par une obligation de confidentialité contractuelle.
Les usages : exemples concrets d’usages admis (rédaction de brouillons, reformulation, synthèses de documents internes non confidentiels), usages encadrés (production de contenus destinés à l’externe), usages prohibés (décisions affectant des salariés ou des candidats sans contrôle humain, génération de contenus juridiques destinés à être diffusés sans vérification).
La supervision humaine : exigence de relecture, de validation et de qualification des contenus générés avant diffusion, traçabilité des usages dans les processus sensibles.
La propriété intellectuelle : règles applicables aux contenus produits avec assistance IA, attribution, mentions à faire figurer le cas échéant.
Le régime de responsabilité : rappel que le salarié reste responsable des contenus qu’il valide et diffuse, articulation avec les sanctions disciplinaires prévues par le règlement intérieur.
La gouvernance : désignation d’un référent IA, comité de suivi, modalités de mise à jour de la charte, dispositif d’alerte en cas d’incident.
Les risques en cas d’absence de cadre
L’absence de charte expose l’employeur à plusieurs risques. Sur le plan disciplinaire, les comportements à risque (saisie de données clients, diffusion de contenus erronés, plagiat assisté) ne pourront être sanctionnés que sur la base de manquements généraux (obligation de loyauté, obligation de confidentialité), avec une marge d’appréciation incertaine.
Sur le plan de la sécurité des données, la saisie d’informations confidentielles dans des modèles publics peut caractériser une violation du RGPD ou une atteinte au secret des affaires, engageant la responsabilité de l’entreprise.
Sur le plan de la responsabilité civile et professionnelle, des contenus générés par IA et diffusés sans vérification peuvent comporter des erreurs factuelles, des biais discriminatoires ou des contrefaçons, dont l’entreprise répondra à l’égard de ses clients ou cocontractants.
Sur le plan social, l’introduction non encadrée d’outils d’IA peut donner lieu à des contentieux portés par les représentants du personnel, comme l’illustre la jurisprudence récente.
Points de vigilance
▪ Cartographier les outils d’IA effectivement utilisés dans l’entreprise, y compris les usages individuels (« shadow IA »), avant toute rédaction.
▪ Distinguer les versions personnelles des outils des versions entreprise, qui offrent généralement de meilleures garanties contractuelles sur les données.
▪ Consulter le CSE en amont du déploiement, sur le fondement de l’article L. 2312-8 du Code du travail, pour sécuriser le projet.
▪ Annexer la charte au contrat de travail ou au règlement intérieur en respectant la procédure de l’article L. 1321-4, condition de son opposabilité disciplinaire.
▪ Documenter les actions de formation et de sensibilisation des salariés au titre de l’article 4 de l’AI Act.
▪ Anticiper l’échéance du 2 août 2026 pour les outils d’IA utilisés en RH (recrutement, évaluation, mobilité), classés à haut risque.
▪ Articuler la charte avec les politiques existantes (RGPD, charte informatique, politique de sécurité, déontologie).
▪ Prévoir une revue régulière de la charte pour suivre l’évolution des outils et de la réglementation.
L'accompagnement du cabinet
La rédaction d’une charte IA n’est pas un exercice de copier-coller : elle suppose une analyse des outils utilisés, des données manipulées, des activités exercées et du dialogue social. Le cabinet Axiome Avocats accompagne les employeurs dans la rédaction et la mise à jour de leurs chartes IA, leur articulation avec le règlement intérieur, la conduite de la consultation du CSE et la mise en conformité avec l’AI Act et le RGPD.
Sources
▪ Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (AI Act), articles 4, 5 et 50.
▪ Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).
▪ Code du travail, articles L. 1321-4 et L. 2312-8.
▪ Tribunal judiciaire de Nanterre, 14 février 2025, n° 24/01457.