Une politique IA en deux pages : le modèle que vous pouvez remplir aujourd'hui
L'absence d'une politique IA n'est pour beaucoup d'organisations pas une question de mauvaise volonté, mais de submersion. Par où commencer ? Quelle longueur ? Et qu'est-ce qui doit y figurer au minimum ? Dans cet article, un modèle pratique que vous pouvez remplir aujourd'hui — deux pages, pas plus.
Pourquoi la plupart des politiques IA ne sont jamais écrites
Dans presque toutes les organisations où la question « avons-nous en fait une politique IA ? » est posée, le même scénario se déroule. Quelqu'un s'en charge, ouvre un document Word vierge, cherche « modèle politique IA » sur Google, tombe sur un modèle de 28 pages rempli de jargon juridique — et referme le document. Pas par paresse, mais par bon sens : une organisation de quarante personnes n'a pas besoin d'un cadre de gouvernance IA de 28 pages. Et donc rien du tout n'est rédigé.
C'est dommage, car deux pages suffisent largement pour répondre aux exigences de base du règlement européen sur l'IA, pour donner de la clarté à vos collaborateurs, et pour pouvoir démontrer lors d'un audit que vous prenez le sujet au sérieux. Cet article décrit exactement ce qui doit figurer dans ces deux pages, dans l'ordre, avec pour chaque section une brève explication du pourquoi et une formulation type que vous pouvez reprendre.
Ce qu'une bonne politique IA n'est pas
Avant d'aborder le contenu, trois choses qu'une politique IA ne doit pas être :
Ce n'est pas un document juridique. C'est une instruction de travail pour vos collaborateurs. S'ils ne peuvent pas la lire un lundi matin ordinaire, elle manque sa cible.
Ce n'est pas un inventaire complet de tous les outils d'IA utilisés par votre organisation. Cet inventaire est tenu à part et mis à jour régulièrement. La politique elle-même doit rester stable — sinon il faut la réécrire à chaque nouvel outil.
Ce n'est pas un document d'interdictions. Une politique qui ne dit que ce qui est interdit conduit au shadow-AI — les collaborateurs travaillent en sous-marin. Une bonne politique clarifie surtout ce qui est permis, et sous quelles conditions.
Les sept éléments qui doivent figurer dans toute politique IA
1. Objet et portée (3-4 phrases)
Commencez par la raison d'être du document et ses destinataires. Formulation type :
« La présente politique décrit comment les collaborateurs de [organisation] travaillent de manière responsable avec les outils d'IA. Elle s'applique à tous les collaborateurs, bénévoles et externes qui déploient des outils d'IA pour le compte de [organisation], que ces outils soient mis à disposition de manière centralisée ou installés par le collaborateur lui-même. »
Ce dernier ajout est crucial. Sans cette phrase, tout l'usage de shadow-AI passe à travers les mailles du filet.
2. Quels outils d'IA sont autorisés et lesquels ne le sont pas (court, concret)
Pas de longues listes — trois catégories suffisent : outils approuvés et proposés de manière centralisée, outils autorisés à titre individuel pour le travail personnel et sans données confidentielles, et outils non autorisés sans accord préalable. Formulation type :
« Outils approuvés : [Microsoft Copilot, ChatGPT Enterprise]. Conditionnellement autorisés : autres outils d'IA publics pour le travail personnel de rédaction et de réflexion, à condition qu'aucune information confidentielle n'y soit saisie. Non autorisés sans accord : outils qui traitent des données personnelles, des données clients, des informations financières ou des documents stratégiques. »
3. Ce qui est permis, ce qui ne l'est pas — les règles de base (5-7 puces)
Le cœur de la politique. Restez simple et orienté comportement. Formulation type :
4. Responsabilité et personne de contact (2-3 phrases)
Un seul nom, un seul rôle. Formulation type :
« Le responsable de la politique IA au sein de [organisation] est [nom, fonction]. Pour toute question, doute ou incident, vous prenez directement contact avec cette personne via [adresse e-mail]. Pour les questions techniques sur les outils autorisés, vous pouvez vous adresser à [point de contact IT]. »
5. Formation obligatoire et certification (2-3 phrases)
C'est ici que vous adressez l'Article 4 du règlement européen sur l'IA. Formulation type :
« Tous les collaborateurs suivent avant le [date] la formation obligatoire à la littératie en IA. Pour les collaborateurs occupant des fonctions à risque accru (RH, IT, contact client), une formation approfondie s'applique. Le certificat est valable un an. Les nouveaux collaborateurs suivent la formation dans les trois mois suivant leur entrée en fonction. »
6. Que faire en cas d'incident (3-4 phrases)
Un cheminement court et concret. Formulation type :
« Vous soupçonnez qu'une information confidentielle a été saisie par mégarde dans un outil d'IA, ou vous avez des doutes sur le résultat d'un système d'IA ? Signalez-le dans les 24 heures au responsable IA. Les incidents mineurs sont enregistrés et discutés en interne. Les incidents majeurs (fuites de données, décisions clients erronées) sont traités conformément aux procédures existantes pour les fuites de données et les incidents qualité. »
7. Validité et révision (1 phrase)
« La présente politique est révisée au moins une fois par an par [responsable] et mise à jour entre-temps à chaque modification significative de la législation ou du paysage de l'IA. »
Deux pages. Terminé.
Si vous remplissez les sept éléments ci-dessus avec des réponses adaptées à votre organisation, vous obtenez deux pages de texte qui répondent aux exigences de base du règlement européen sur l'IA, qui donnent à vos collaborateurs des repères concrets, et que vous pouvez poser sur la table lors d'un audit. Pas parfait — mais réel. Et c'est plus que ce que possèdent 90 pour cent des organisations à l'heure actuelle.
Ce que cette politique ne remplace pas
Une politique IA de deux pages ne remplace pas trois choses, et il faut le savoir avant d'en être fier :
Elle ne remplace pas l'inventaire de vos systèmes d'IA. Vous le tenez à part, avec pour chaque système le niveau de risque, le fournisseur, et qui exerce la supervision humaine. Pour les systèmes à haut risque relevant du règlement européen sur l'IA, cet inventaire n'est pas une option mais une obligation.
Elle ne remplace pas la formation de vos collaborateurs. Un document sur le disque partagé n'est pas une formation. L'Article 4 exige des connaissances démontrables, avec certificat, différenciées par rôle. Une politique seule ne suffit pas.
Elle ne remplace pas l'audit fournisseurs de vos contrats existants. Qui vous fournit vos outils d'IA, et si ce fournisseur est lui-même conforme, reste votre responsabilité en tant que déployeur. La politique mentionne l'existence de cet audit, mais l'audit lui-même doit aussi réellement avoir lieu.
Pour conclure
Une politique IA ne devrait pas être l'aboutissement de votre approche IA — elle devrait en être le point de départ. Quelque chose à coucher sur papier aujourd'hui, à discuter avec votre équipe la semaine prochaine, et à confronter à la pratique dans un mois. Attendre de « tout savoir » avant d'écrire quelque chose, c'est attendre de ne plus jamais avoir à commencer. Et août 2026 n'attend pas.
Chez AIAdopt, nous aidons les organisations non seulement avec la formation (Pack de base + extensions sectorielles), mais aussi avec les démarches pratiques qui l'entourent — y compris la mise en place d'une politique qui fonctionne pour votre organisation. Nos microformations se concluent par un certificat évalué qui démontre que vous satisfaites à l'Article 4 du règlement européen sur l'IA.
👉 Découvrez le Pack de base ou composez votre pack sur mesure pour votre organisation.
Vous voulez savoir où en est votre organisation ?
Téléchargez notre checklist de conformité gratuite à l'EU AI Act ou découvrez nos formations en littératie en IA.