📋 Charte IA

2. Périmètre et outils autorisés

L'utilisation de l'intelligence artificielle au sein du cabinet est strictement limitée aux outils et plateformes validés et autorisés par la direction. Cette approche par « liste blanche » vise à garantir la sécurité, la conformité et la maîtrise des technologies employées.

Processus de sélection et de validation de nouveaux outils

Toute proposition d'un nouvel outil d'IA doit être soumise au référent IA pour une analyse technique et de sécurité. La décision finale d'autorisation est prise par l'Associé-Référent IA après évaluation des risques et de la valeur ajoutée pour le cabinet.

Critères d'évaluation

• Sécurité des données. Hébergement (UE/hors UE), politique de confidentialité, possibilité de désactiver l'utilisation des données pour l'entraînement du modèle (opt-out).
• Conformité réglementaire. Respect du RGPD et des obligations professionnelles.
• Fiabilité et performance. Qualité des résultats, transparence du fonctionnement.
• Intégration. Capacité à s'intégrer dans les flux de travail existants.
• Coût et valeur ajoutée. Analyse du rapport bénéfice/risque/coût.

Important. Un outil non listé est considéré comme interdit jusqu'à son approbation formelle.

3. Classification des usages (Feu tricolore)

Pour encadrer l'utilisation de l'IA de manière pragmatique, les usages sont classifiés en trois niveaux de risque, représentés par un code couleur. Chaque collaborateur doit impérativement identifier dans quelle zone se situe son besoin avant d'utiliser un outil d'IA.

4. Règles de protection des données

La protection des données confiées par nos clients et le respect du secret professionnel sont des obligations non négociables. L'utilisation de l'IA doit se faire dans le respect le plus strict de ces principes.

Principe n°1 . Zéro donnée client ou confidentielle dans les IA publiques

Il est formellement et sans exception interdit de soumettre, copier-coller ou téléverser une quelconque information permettant d'identifier un client (nom, raison sociale, SIREN), un de ses salariés, ou contenant des données chiffrées (bilans, bulletins de paie, etc.) ou stratégiques dans une IA publique (telle que les versions standards de ChatGPT, Gemini, Claude, etc.).

Principe n°2 . Anonymisation systématique

Pour tout usage relevant de la zone orange, les informations doivent être entièrement anonymisées. Le moindre doute sur la capacité d'une IA à ré-identifier une personne ou une entreprise à partir des informations fournies doit conduire à l'abstention.

Principe n°3 . Utilisation des environnements sécurisés

Les outils classés en zone verte (Microsoft Copilot, Manus, Pennylane IA, Geremy, Noota) sont autorisés pour le traitement de données professionnelles, y compris des données clients, car ils offrent des garanties contractuelles de sécurité et de confidentialité. Les données traitées dans ces environnements ne sont pas utilisées pour l'entraînement de modèles publics et restent dans le périmètre de sécurité du cabinet.

Principe n°4 . Désactivation de l'entraînement des modèles (Opt-Out)

Pour tout outil d'IA qui le permet, chaque collaborateur a l'obligation de configurer les paramètres de son compte pour désactiver l'historique des conversations et refuser l'utilisation de ses données pour l'entraînement des modèles. Le DSI fournira des guides pour effectuer cette configuration sur les outils autorisés.

5. Responsabilités et validation

L'intelligence artificielle est un outil d'assistance . elle ne se substitue en aucun cas au jugement, à l'expertise et à la responsabilité du professionnel.

Principe n°1 . Le collaborateur est seul responsable

Chaque collaborateur est l'auteur et le responsable final de ses productions, y compris celles générées avec l'assistance d'une IA. Le recours à une IA doit être considéré comme l'utilisation d'un logiciel d'assistance avancé. Le collaborateur doit systématiquement exercer son esprit critique, vérifier la pertinence, l'exactitude et la cohérence des résultats produits par l'IA avant de les utiliser.

Principe n°2 . Chaîne de validation et supervision

Tout travail intégrant une production issue d'une IA doit suivre le processus de validation habituel du cabinet (revue par un manager, un senior, un associé). La supervision doit être renforcée .

• Dossiers de travail. Pour les missions d'expertise comptable (notamment la révision) et d'audit, l'utilisation d'une IA doit être documentée dans le dossier de travail. Cette documentation doit inclure l'outil utilisé, le prompt (la question posée), et la conclusion du collaborateur après analyse critique du résultat.
• Vérification des sources. L'IA peut produire des informations erronées ou obsolètes (« hallucinations »). Toute information factuelle ou chiffrée issue d'une IA doit être systématiquement vérifiée à partir de sources fiables.

Principe n°3 . Droit à l'erreur de l'IA, devoir de contrôle de l'humain

Le cabinet reconnaît que les outils d'IA ne sont pas infaillibles. Cependant, se fier aveuglément à une réponse de l'IA sans la contrôler constitue une faute professionnelle. Le devoir de supervision humaine est absolu. L'objectif n'est pas de sanctionner l'erreur de l'outil, mais de s'assurer que les processus de contrôle humain permettent de la détecter et de la corriger avant qu'elle n'ait un impact.

6. Transparence client

La confiance de nos clients repose sur une communication transparente. Il est important de les informer de notre démarche d'innovation et de la manière dont nous utilisons les nouvelles technologies pour améliorer la qualité de nos services, tout en garantissant la sécurité de leurs données.

Principe . Information générale via la lettre de mission

Plutôt que de demander une autorisation pour chaque usage, qui serait lourde et peu pratique, nous intégrons une clause d'information générale dans nos lettres de mission. Cette clause informe le client que le cabinet a recours à des outils technologiques avancés, y compris des systèmes d'intelligence artificielle, dans le cadre de ses travaux.

Clause à intégrer dans les lettres de mission

7. Gouvernance et révision

L'intelligence artificielle est un domaine en évolution rapide. La présente charte n'est pas un document figé, mais le socle d'une gouvernance dynamique et adaptative.

Principe n°1 . Pilotage par le Référent IA

La gouvernance de l'IA au sein du cabinet est assurée par le binôme composé de l'Associé-Référent et du DSI. Leurs missions sont les suivantes .

• Animer la démarche IA . Promouvoir les bonnes pratiques, organiser des sessions de formation et d'information pour les collaborateurs.
• Être le point de contact . Répondre à toute question des collaborateurs concernant l'application de la charte et la classification des usages.
• Assurer la veille technologique et réglementaire . Suivre les évolutions des outils et des lois pour proposer les ajustements nécessaires.
• Gérer la liste blanche . Instruire les demandes de nouveaux outils et maintenir à jour la liste des solutions autorisées.

Principe n°2 . Révision annuelle

La charte fera l'objet d'une révision formelle au minimum une fois par an, sous la responsabilité du Référent IA. Cette révision permettra de l'adapter aux nouveaux outils, aux nouveaux risques identifiés et à l'évolution du cadre réglementaire.

Principe n°3 . Gestion des incidents

Tout incident ou suspicion d'incident lié à l'utilisation de l'IA (ex. violation des règles de confidentialité, erreur significative non détectée, etc.) doit être immédiatement signalé au DSI et au Référent IA. Une analyse sera menée pour comprendre les causes, évaluer les conséquences et mettre en place les actions correctives nécessaires.

Principe n°4 . Formation continue

Le cabinet s'engage à assurer une formation continue de ses collaborateurs sur les enjeux, les opportunités et les risques liés à l'intelligence artificielle. La compréhension de cette charte et des bonnes pratiques associées fait partie intégrante du parcours de formation de tout collaborateur.

8. Récapitulatif des outils autorisés

La liste complète des outils autorisés et classifiés selon leur niveau de risque.