Le problème que personne veut voir
Selon une étude Salesforce (2024), 58% des salariés utilisent déjà l'IA générative au travail. Et parmi eux, 28% le font sans que leur employeur le sache.
L'essentiel :
- 58% des salaries utilisent l'IA au travail, dont 28% sans que leur employeur le sache
- 4 risques concrets : fuite de donnees, hallucinations, propriete intellectuelle, dependance fournisseur
- Une charte IA minimum viable tient en 5 regles et se redige en une semaine
- Notre recommandation : ne pas interdire, mais cadrer. Commencez par lister les outils autorises et les donnees interdites - c'est 80% du travail.
Les 4 niveaux de maturite IA en PME
| Niveau | Description | Signes typiques | Risque | Action prioritaire |
|---|---|---|---|---|
| 1 - Sauvage | L'IA est utilisee sans aucun cadre | Chacun utilise ses propres outils, donnees clients copiees dans ChatGPT gratuit | Eleve (fuite de donnees, 0 tracabilite) | Lister les usages existants, rediger une charte en 5 points |
| 2 - Cadre | Une charte existe, les outils sont listes | Outils autorises identifies, donnees interdites definies, verification obligatoire | Modere (encore des zones grises) | Former les equipes, nommer un referent IA |
| 3 - Pilote | L'IA est integree dans des workflows definis | Workflows automatises, API avec DPA, review trimestrielle | Faible (processus en place) | Mesurer le ROI, etendre a d'autres services |
| 4 - Mature | L'IA est un levier strategique maitrise | Gouvernance documentee, multi-fournisseurs, formation continue, KPIs suivis | Tres faible (amelioration continue) | Optimiser, former les nouveaux, veille reglementaire |
La majorite des PME en 2026 sont au niveau 1 ou 2. L'objectif n'est pas d'atteindre le niveau 4 en un mois - c'est de passer du niveau 1 au niveau 2 cette semaine.
Concretement dans votre PME, ca veut dire :
- Votre commercial colle des données clients dans ChatGPT pour rédiger des emails
- Votre comptable utilise une IA pour résumer des contrats confidentiels
- Votre stagiaire génère du code avec Copilot sans vérifier les failles de sécurité
C'est pas de la mauvaise volonté. C'est de l'efficacité mal cadrée.
Quels sont les risques concrets de l'IA non cadrée ?
1. Fuite de données confidentielles
ChatGPT (version gratuite) peut utiliser vos données pour entraîner ses modèles. Vous collez un contrat client dedans ? Il peut théoriquement resurgir dans une réponse à quelqu'un d'autre.
Le fix : n'utiliser que des API avec DPA (Data Processing Agreement) et retention 0. Claude API, GPT-4 API (pas la version chat gratuite), Mistral API.
En pratique : la difference entre ChatGPT gratuit et ChatGPT API (ou Claude API) est fondamentale. Les versions gratuites peuvent utiliser vos donnees pour l'entrainement. Les API avec DPA s'engagent contractuellement a ne pas le faire. Le cout supplementaire (20-50 EUR/mois par utilisateur pour les versions pro, ou quelques euros via API) est derisoire compare au risque.
2. Hallucinations non détectées
L'IA invente avec aplomb. Un collaborateur qui fait confiance aveugle à une réponse IA peut envoyer des chiffres faux à un client, un contrat avec des clauses inventées, ou un email avec des infos incorrectes.
Le fix : règle simple - tout output IA doit être vérifié par un humain avant envoi externe. Pas négociable.
3. Propriété intellectuelle floue
Qui possède le contenu généré par IA ? Si votre développeur utilise Copilot, le code généré peut contenir des fragments sous licence GPL. Légalement, c'est un champ de mines.
Le fix : documenter l'usage d'IA dans les livrables. Pour le code, review systematique. Pour les contenus, toujours reformuler/adapter.
Point juridique : en droit francais et europeen, le statut des contenus generes par IA n'est pas encore totalement clarifie. L'AI Act europeen (en vigueur progressivement depuis 2025) impose des obligations de transparence. En attendant la jurisprudence, la prudence est de documenter systematiquement les usages d'IA dans vos process de production.
4. Dépendance à un fournisseur
Votre équipe s'appuie à 100% sur ChatGPT. OpenAI change ses prix (ça arrive souvent), change ses conditions, ou tombe en panne. Vous faites quoi ?
Le fix : ne jamais dépendre d'un seul LLM. Avoir un plan B (Claude, Mistral, modèle open source).
Comment rédiger une charte IA praticable ?
Pas besoin d'un document de 40 pages. Ces 5 règles suffisent :
Règle 1 : Liste des outils autorisés
"L'entreprise autorise l'usage de : Claude (via API), ChatGPT Plus (pas la version gratuite), Notion AI. Tout autre outil doit être validé par [responsable]."
Règle 2 : Données interdites
"Ne jamais saisir dans un outil IA : données clients nominatives, informations financières confidentielles, mots de passe, contrats non publics."
Règle 3 : Vérification obligatoire
"Tout contenu généré par IA destiné à un client ou partenaire externe doit être relu et validé par un humain avant envoi."
Règle 4 : Traçabilité
"Mentionner l'usage de l'IA dans les livrables quand c'est pertinent. Pas par transparence marketing - par responsabilité."
Règle 5 : Review trimestrielle
"Tous les 3 mois, on fait le point : quels outils on utilise, quels usages ont émergé, quels risques on a identifiés."
RGPD et IA : l'essentiel
Le RGPD n'interdit pas l'IA. Il impose des contraintes sur le traitement de données personnelles :
- Base légale : vous devez avoir une raison légitime pour traiter les données (consentement, intérêt légitime, contrat)
- Minimisation : ne traitez que les données nécessaires. Pas besoin d'envoyer tout le dossier client à l'IA si la question porte sur une facture
- DPA : votre fournisseur IA doit avoir signé un Data Processing Agreement avec vous
- Hébergement : privilégiez les solutions hébergées en EU (Mistral, OVH, Scaleway)
- Droit d'accès : vos clients peuvent demander comment leurs données sont traitées. Ayez une réponse prête
En pratique : utilisez les API (pas les versions chat gratuites), choisissez des providers avec DPA, et documentez vos usages. C'est 90% du travail.
Vos equipes utilisent l'IA sans cadre clair ? Parlons de votre gouvernance IA en 30 minutes - diagnostic gratuit.
Pour structurer vos usages IA de maniere plus large - agents, automatisation, workflows - consultez nos services d'automatisation.
Comment former sans fliquer
Le piège c'est de transformer la gouvernance IA en flicage. Vos équipes vont contourner.
Ce qui marche :
- 1h de formation initiale : "voici les outils, voici les règles, voici pourquoi"
- Un channel Slack #ia-tips où les gens partagent leurs usages et astuces
- Un référent IA (pas forcément le DSI - quelqu'un de curieux et pragmatique)
- Valoriser les bons usages plutôt que punir les mauvais
Ce qui marche PAS :
- Bloquer ChatGPT sur le reseau (ils utiliseront leur telephone)
- Un document de 30 pages que personne lit
- Des formations obligatoires de 2 jours (trop long, trop theorique)
Le format de formation qui fonctionne le mieux : une session d'1h en 3 parties. 20 minutes de regles (la charte, les outils, les donnees interdites). 20 minutes de demonstration pratique (montrer les bons usages sur des cas concrets du metier). 20 minutes de questions-reponses. Repetez cette session pour chaque nouvel arrivant. Et surtout, rendez la charte accessible en permanence - epinglee dans Slack, affichee dans l'espace commun, accessible en un clic.
Checklist : votre charte IA en 1 semaine
Voici un plan d'action concret pour mettre en place votre gouvernance IA en 5 jours :
Jour 1 - Audit des usages : envoyez un questionnaire anonyme a votre equipe. 5 questions suffisent : "Utilisez-vous des outils IA au quotidien ? Lesquels ? Pour quelles taches ? Quels types de donnees saisissez-vous ? Quels gains constatez-vous ?". Vous serez probablement surpris par les reponses.
Jour 2 - Classification des donnees : listez les categories de donnees que votre entreprise manipule. Publiques (site web, brochures), internes (process, templates), confidentielles (donnees clients, contrats), interdites (mots de passe, donnees bancaires). Pour chaque categorie, definissez ce qui peut ou ne peut pas aller dans un outil IA.
Jour 3 - Selection des outils : a partir de l'audit, listez les outils IA utilises et evaluez-les. Criteres : DPA signe, retention des donnees, hebergement (EU ou non), cout. Validez 2-3 outils autorises. Expliquez pourquoi les autres ne le sont pas.
Jour 4 - Redaction de la charte : 5 regles, 1 page. Pas plus. Utilisez le modele propose plus haut. Faites relire par un collaborateur non technique pour verifier que c'est comprehensible.
Jour 5 - Communication et formation : 1h de presentation a l'equipe. Distribuez la charte. Nommez un referent. Fixez la date de la premiere review trimestrielle.
C'est tout. Pas besoin de consultant pendant 3 mois.
Comment se lancer concretement ?
- Cette semaine : demandez à votre équipe "qui utilise l'IA au quotidien ?". Pas pour punir - pour comprendre.
- Semaine prochaine : rédigez votre charte en 5 points (copiez les nôtres ci-dessus).
- Dans 1 mois : faites un premier bilan. Quels usages ? Quels risques ? Quels gains ?
C'est pas plus complique que ca. Et c'est 100x mieux que de ne rien faire.
3 scenarios concrets de gouvernance IA en PME
Scenario : cabinet de conseil de 12 personnes
Contexte : un cabinet de conseil en strategie ou 8 consultants sur 12 utilisent ChatGPT quotidiennement. Le dirigeant decouvre qu'un consultant a colle un rapport client confidentiel dans la version gratuite de ChatGPT pour le reformuler.
Actions mises en place :
- Audit des usages existants (questionnaire anonyme, 30 min)
- Charte IA en 5 points diffusee a toute l'equipe
- Migration vers Claude API et ChatGPT Plus (versions avec DPA)
- Formation d'1h : "ce qu'on peut mettre dans l'IA, ce qu'on ne met jamais"
Resultat : 100% des consultants utilisent les outils autorises en 2 semaines. Les usages sont traces et le risque de fuite de donnees est elimine.
Delai de deploiement : 1 semaine pour la charte, 2 semaines pour la formation et la migration.
Scenario : PME industrielle de 35 personnes
Contexte : une PME industrielle ou le bureau d'etudes (5 ingenieurs) utilise Copilot pour du code et de la documentation technique. Le service commercial (4 personnes) utilise ChatGPT pour rediger des propositions commerciales avec des prix et des conditions specifiques.
Actions mises en place :
- Classification des donnees : publiques, internes, confidentielles, interdites
- Outils differencies par service : Copilot valide pour le bureau d'etudes (avec review code), Claude API pour le commercial (sans donnees de prix dans les prompts)
- Referent IA nomme (ingenieur senior, pas le DSI)
- Review trimestrielle des usages
Resultat : les usages sont cadres sans freiner la productivite. Le bureau d'etudes estime gagner 5-8h/semaine en documentation. Le commercial gagne 2-3h/semaine en redaction de propositions.
Delai de deploiement : 2-3 semaines.
Scenario : agence de communication de 8 personnes
Contexte : une agence ou tout le monde utilise l'IA (redaction, visuel, strategie). Aucun cadre. Un client decouvre que sa strategie de marque a ete "resumee" par ChatGPT et s'en inquiete.
Actions mises en place :
- Politique simple : jamais de nom de client ni de donnees strategiques dans un outil IA sans DPA
- Liste d'outils autorises avec un channel Slack #ia-tips pour partager les bonnes pratiques
- Clause ajoutee aux contrats clients : "L'IA est utilisee comme outil d'aide a la production. Tout livrable est valide par un humain."
Resultat : le client est rassure par la transparence. L'equipe continue a utiliser l'IA efficacement dans un cadre clair.
Delai de deploiement : 1 semaine.
Les erreurs a eviter quand on met en place une gouvernance IA
1. Interdire au lieu de cadrer
Bloquer ChatGPT sur le reseau d'entreprise ne sert a rien. Vos equipes utiliseront leur telephone personnel. Le shadow AI est pire que l'IA non cadree, parce qu'il est invisible. Cadrez les usages, listez les outils autorises, formez - n'interdisez pas.
2. Ecrire une charte de 30 pages que personne ne lit
Une charte IA doit tenir sur une page. 5 regles, pas 50. Si vos collaborateurs ne peuvent pas la reciter de memoire en 30 secondes, elle est trop longue. Simplicite = adoption.
3. Ne pas nommer de referent IA
Sans referent, la charte reste un document mort. Nommez quelqu'un de curieux et pragmatique (pas forcement le DSI) qui repond aux questions, valide les nouveaux outils, et anime la review trimestrielle. Ca ne prend pas plus de 2h/mois.
En resume
La gouvernance IA n'est pas un projet IT de 6 mois. C'est 5 regles, 1h de formation et un referent. 58% de vos salaries utilisent deja l'IA - la question n'est pas "faut-il cadrer ?" mais "combien de temps encore on laisse faire sans cadre ?". Plus vous attendez, plus les mauvaises habitudes s'installent.
Chez Agenexa, on accompagne des PME dans la mise en place de leur gouvernance IA et de leurs workflows automatises. Notre approche : un diagnostic des usages existants, une charte pragmatique, et une formation concrrete. Pas de document de 40 pages, pas de comite - des regles claires et applicables.
Parlons de votre gouvernance IA ou consultez nos services d'automatisation.
Pour aller plus loin, decouvrez notre offre de setup IA productivite pour cadrer les usages de vos equipes, ou consultez notre guide complet sur les agents IA pour comprendre ce que l'IA peut faire concretement dans vos process.
Pour comprendre comment l'IA generative s'integre dans vos process, lisez aussi IA generative en entreprise : au-dela du chatbot. Et pour une vue sur nos tarifs d'accompagnement, tout est transparent.