Quelles mentions obligatoires doivent figurer dans une charte d'utilisation de l'IA en entreprise ?

Réponse courte

Une charte d'utilisation de l'IA en entreprise au Luxembourg doit comporter plusieurs mentions obligatoires issues du RGPD, de l'AI Act et du Code du travail. Elle doit préciser les finalités des traitements automatisés, les systèmes d'IA déployés et leur classification (haut risque ou non), les droits des salariés (information, opposition, explication), ainsi que les modalités de supervision humaine. La CNPD peut contrôler la conformité de ce document.

L'employeur doit également y mentionner les mesures de protection des données personnelles, les procédures de signalement d'incident, les règles d'utilisation des outils d'IA générative et les sanctions disciplinaires encourues en cas de non-respect. La consultation préalable de la délégation du personnel est requise conformément à l'article L.414-1 du Code du travail.

Définition

La charte d'utilisation de l'IA est un document interne qui encadre le recours aux systèmes d'intelligence artificielle dans l'entreprise. Elle complète le règlement intérieur et définit les droits et obligations des salariés et de l'employeur concernant les outils automatisés. Ce document formalise l'engagement de l'entreprise en matière de transparence algorithmique et de respect des droits fondamentaux.

Au Luxembourg, cette charte s'inscrit dans un cadre réglementaire triple : le RGPD pour la protection des données, l'AI Act (Règlement UE 2024/1689) pour la gouvernance des systèmes d'IA et le Code du travail pour la consultation des représentants du personnel et la protection des droits des salariés.

Questions fréquentes

Faut-il consulter la délégation du personnel pour valider la charte IA ?

Oui, c'est obligatoire. L'article L.414-1 du Code du travail impose la consultation préalable de la délégation du personnel. Les observations doivent être intégrées et le processus de consultation documenté pour démontrer le respect de cette obligation procédurale.

Faut-il une formation associée à la charte d'utilisation de l'IA ?

Oui, fortement recommandé. Des sessions de formation obligatoires pour tous les utilisateurs d'outils d'IA permettent de garantir la compréhension effective des règles. La participation doit être documentée pour démontrer la diligence de l'employeur en cas de contrôle.

La charte IA doit-elle prévoir une procédure de signalement d'incident ?

Oui. L'AI Act impose aux déployeurs (article 26) de prévoir une procédure de signalement des incidents liés aux systèmes d'IA. La charte doit décrire cette procédure, identifier les destinataires (DPO, responsable IA) et les modalités de remontée par les utilisateurs.

Quelles mentions obligatoires figurer dans une charte d'utilisation de l'IA ?

La charte doit identifier les systèmes IA et leur classification AI Act, préciser les finalités des traitements, la base juridique RGPD, la durée de conservation, les droits des salariés (information, opposition, explication), les modalités de supervision humaine et les sanctions disciplinaires applicables.

Quelles obligations RGPD inclure dans la charte IA ?

Les finalités des traitements automatisés, la base juridique (consentement, intérêt légitime, obligation légale), la durée de conservation des données et les droits des salariés (accès, rectification, opposition, effacement, portabilité). Ces mentions découlent des articles 13 et 14 du RGPD.

Quelles règles spécifiques inclure pour l'IA générative dans la charte ?

Des clauses sur la confidentialité (interdiction de saisie de données personnelles ou de secrets d'affaires), la propriété intellectuelle des contenus générés, l'obligation de vérification des résultats avant utilisation et la liste des outils approuvés par la DSI.

Conditions d’exercice

La rédaction de la charte IA doit intégrer des mentions imposées par trois niveaux de réglementation.

Critère	Détail
Identification des systèmes	Liste exhaustive des outils d'IA déployés ; classification haut risque / non haut risque selon l'AI Act (Annexe III) ; finalité précise de chaque système
RGPD - Transparence	Finalités des traitements automatisés ; base juridique (consentement, intérêt légitime, obligation légale) ; durée de conservation des données ; droits des salariés (accès, rectification, opposition, effacement)
AI Act - Obligations	Documentation technique des systèmes à haut risque ; mesures de supervision humaine ; procédure de signalement d'incident ; traçabilité (conservation des logs 6 mois minimum)
Code du travail	Consultation de la délégation du personnel (art. L.414-1) ; respect de la vie privée (art. L.261-1) ; non-discrimination (art. L.251-1)
Règles d'utilisation	Usages autorisés et interdits des outils d'IA ; règles spécifiques pour l'IA générative (confidentialité, propriété intellectuelle) ; responsabilité des utilisateurs
Sanctions et recours	Sanctions disciplinaires en cas de non-respect ; procédure de réclamation pour les salariés ; voies de recours internes et externes (CNPD, ITM)

Modalités pratiques

La mise en place de la charte IA suit un processus structuré associant les parties prenantes internes et les autorités compétentes.

Étape	Détail
Inventaire des systèmes IA	Cartographier tous les outils d'IA utilisés ; identifier les données traitées et les décisions assistées ; classer selon la grille de risque AI Act
Rédaction collaborative	Impliquer DRH, DSI, DPO et juriste ; intégrer les exigences RGPD, AI Act et Code du travail ; rédiger en langage clair et accessible
Consultation obligatoire	Soumettre à la délégation du personnel ; intégrer les observations ; documenter le processus de consultation
Diffusion et formation	Communiquer à tous les salariés concernés ; organiser des sessions de formation ; rendre accessible en permanence (intranet, affichage)
Mise à jour régulière	Réviser à chaque nouveau déploiement IA ; adapter aux évolutions réglementaires ; documenter les modifications

Pratiques et recommandations

Rédiger la charte en langage clair et accessible à tous les salariés, en évitant le jargon technique excessif et en fournissant des exemples concrets d'usages autorisés et interdits pour chaque outil d'IA déployé.

Prévoir une procédure de mise à jour systématique lors de tout nouveau déploiement d'IA, en documentant les modifications et en informant les salariés des changements apportés.

Associer le délégué à la protection des données (DPO) à la rédaction et à la révision de la charte pour garantir la conformité RGPD et anticiper les contrôles de la CNPD.

Inclure des clauses spécifiques sur l'utilisation de l'IA générative (ChatGPT, Copilot) qui encadrent la saisie de données confidentielles, la vérification des résultats et la propriété intellectuelle des contenus générés.

Organiser des sessions de formation obligatoires pour tous les utilisateurs d'outils d'IA, en documentant la participation pour démontrer la diligence de l'employeur en cas de contrôle.

Cadre juridique

Référence	Objet
RGPD - Articles 13 et 14	Obligation d'information des personnes concernées sur les traitements automatisés
RGPD - Article 22	Interdiction des décisions fondées exclusivement sur un traitement automatisé
RGPD - Article 35	Analyse d'impact relative à la protection des données (AIPD) obligatoire pour les traitements à risque élevé
AI Act (UE 2024/1689) - Article 26	Obligations des déployeurs : utilisation conforme, supervision humaine, signalement des incidents
AI Act - Annexe III	Classification des systèmes à haut risque dans le domaine de l'emploi
Art. L.261-1	Traitement des données à caractère personnel à des fins de surveillance des salariés
Art. L.414-1	Attributions de la délégation du personnel en matière de conditions de travail
Art. L.251-1	Interdiction de toute discrimination directe ou indirecte

Note

La charte d'utilisation de l'IA constitue un outil indispensable de gouvernance pour tout employeur luxembourgeois déployant des systèmes d'IA. Elle formalise les engagements de transparence et de protection des droits des salariés. Son absence expose l'entreprise à des sanctions CNPD et à des contentieux devant le tribunal du travail en cas de décision algorithmique contestée.