← Catalogue

Éthique de l'IA en entreprise

Charte, RGPD, AI Act, gouvernance — tenir le cadre sans tuer l'usage.

Quand un indépendant ou un responsable d'asbl me demande une formation éthique IA, l'enjeu est rarement abstrait. C'est souvent un ou deux collaborateurs qui utilisent ChatGPT sans cadre depuis six mois, une question de conformité AI Act qu'on n'a pas eu le temps de creuser, des usages à valider sans personne pour donner le cadre, des données de membres, de bénéficiaires ou de clients qui transitent par des LLM publics sans qu'on sache si c'est légal. Cette formation est faite pour ces situations concrètes. En une journée dense, je vous donne ce qu'il faut pour rédiger votre charte IA, l'articuler avec votre RGPD existant, et installer une gouvernance qui tient sans tuer l'usage. Le cadre, pas la peur.

Objectifs pédagogiques

  • Comprendre l'AI Act européen — échéances, obligations, sanctions
  • Articuler IA et RGPD — quelles données, quels traitements
  • Rédiger sa charte d'utilisation IA, adaptée à votre métier
  • Mettre en place une gouvernance simple, tenable, vérifiable

Programme

  1. Demi-journée 1 · Le cadre

    • AI Act européen : les classes de risque, ce qui change quand
    • RGPD et IA : données personnelles, données sensibles, données métier
    • Responsabilités en cas de problème — qui, quand, comment
  2. Demi-journée 2 · La mise en œuvre

    • Structure d'une charte IA d'entreprise
    • Rédaction d'une charte adaptée à votre contexte
    • Processus de validation interne et comités
    • Communication de la charte aux équipes

Livrables

  • Charte IA d'entreprise — template prêt à signer
  • Check-list AI Act par cas d'usage
  • Processus de validation interne (RACI)
  • Kit de communication interne

Références

  • Entreprise d'assurance belge — formation conformité
  • Secteur public belge

Pourquoi cadrer l'IA maintenant

Trois pressions convergentes rendent ce cadrage urgent en 2026. L'AI Act européen est entré en vigueur progressivement depuis 2024, avec un échelonnement qui culmine en août 2026 pour les obligations sur les systèmes à haut risque. Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial — et contrairement au RGPD, certaines obligations s'appliquent même aux organisations qui ne développent pas d'IA, mais qui en utilisent dans des contextes sensibles (RH, scoring, surveillance). En parallèle, vos équipes utilisent déjà l'IA générative, le plus souvent dans des outils publics où les données saisies peuvent être réutilisées pour l'entraînement des modèles. Sans cadre interne explicite, vous êtes exposés à des fuites de données clients, employés, ou stratégiques — et l'autorité de protection des données belge a déjà ouvert plusieurs enquêtes sur ce type de cas en 2025. Enfin, le risque n'est pas seulement juridique, il est aussi éthique et réputationnel. Une IA mal cadrée qui filtre des candidatures, qui décide d'un dossier client ou qui produit du contenu à votre nom peut faire disparaître en un trimestre une réputation construite sur dix ans. Cette formation s'adresse à ceux qui ne veulent pas attendre qu'un incident force la main.

Comment se déroule la journée

Pas de discours juridique de niveau master 2, pas de tableau Excel de 200 lignes à remplir sur des risques abstraits. La pédagogie est calée pour des décideurs, des DPO et des managers, pas pour des avocats. Demi-journée 1 — le cadre : on décrypte ensemble l'AI Act et son articulation avec le RGPD, en partant de cas concrets (un département RH qui utilise ChatGPT pour pré-trier des CV, un commercial qui colle des contrats clients dans Claude, une marketing qui génère des images publicitaires avec Midjourney). Pour chaque cas, on identifie les classes de risque AI Act applicables, les obligations RGPD activées, et les responsabilités engagées. Demi-journée 2 — la mise en œuvre : atelier de rédaction. Vous repartez avec une première version de votre charte IA, sur mesure pour votre métier, structurée selon un template qui intègre nativement les exigences RGPD et AI Act. On définit aussi le processus de validation interne (RACI : qui valide quoi, sous quel délai, avec quel recours en cas de désaccord). La méthode s'appuie sur le même socle que mes autres missions — cf. ma page méthode.

Ce qui change après cette journée

Vous repartez avec un kit complet pour déployer une gouvernance IA en interne : une charte IA d'entreprise prête à être validée par votre juridique avant signature, une check-list AI Act par cas d'usage (qui transforme une question vague — « est-ce qu'on a le droit » — en une réponse documentable), un processus de validation interne RACI clair, et un kit de communication interne pour annoncer la charte aux équipes sans susciter de rejet. Mais le vrai bénéfice est ailleurs : vous arrêtez d'avoir peur de l'IA et vous arrêtez aussi de la laisser se déployer en zone grise. Vos équipes savent ce qu'elles peuvent faire, ce qu'elles ne peuvent pas faire, et à qui poser la question quand un nouveau cas se présente. C'est là que la gouvernance cesse d'être un frein et devient un accélérateur.

Questions fréquentes

Avant de me contacter,
les réponses qui reviennent.

  1. Doit-on remplacer notre RGPD existant par une charte IA ?

    Non. La charte IA est complémentaire au RGPD, elle ne s'y substitue pas. Le RGPD encadre toutes les données personnelles, la charte IA encadre tous les usages d'IA — qui incluent souvent (mais pas toujours) des données personnelles. Les deux documents doivent cohabiter et se référer l'un à l'autre. Le template fourni en formation intègre nativement cette articulation.

  2. Notre DPO actuel suffit-il pour gérer l'AI Act ?

    Pas seul. Le DPO a la compétence juridique sur la protection des données, mais l'AI Act introduit des obligations qui dépassent largement le RGPD (transparence, supervision humaine, classes de risque, documentation technique). En pratique, dans une petite structure, c'est le binôme responsable + référent données qui fonctionne le mieux — et souvent c'est la même personne qui porte les deux casquettes. Cette formation est faite pour ce contexte.

  3. Que fait-on si nos équipes utilisent déjà ChatGPT en zone grise ?

    Première chose : pas de chasse aux sorcières, ça crée une résistance qui empêche tout déploiement futur. Deuxième chose : on documente l'existant rapidement (qui utilise quoi, pour quels cas, avec quelles données), on identifie les usages à risque immédiat, on les arrête le temps du cadrage, et on déploie la charte dans les 30 jours. La formation traite explicitement ce cas — c'est le scénario le plus courant.

  4. Doit-on déclarer nos systèmes IA aux autorités ?

    Ça dépend de la classe de risque AI Act dans laquelle ils tombent. Les systèmes à haut risque (RH, scoring, surveillance, biométrie, infrastructures critiques) ont des obligations de déclaration et de documentation strictes. Les systèmes à risque limité (chatbots, génération de contenu) ont des obligations de transparence plus légères. La check-list délivrée en formation permet de classer chaque cas d'usage rapidement.

  5. Combien de temps pour déployer la charte après la formation ?

    Entre 4 et 8 semaines en général. Une à deux semaines pour la validation juridique (interne ou avocat externe), une à deux semaines pour la finalisation et l'adaptation au contexte précis, et deux à quatre semaines pour la communication interne, la formation des équipes à son contenu, et l'activation du processus de validation. Les structures les plus rapides l'ont déployée en 3 semaines complètes.