📋 Charte IA

Article 2 : Champ d'application

Cette charte s'applique à l'ensemble des personnes amenées à utiliser des outils d'intelligence artificielle dans le cadre de leurs activités professionnelles au sein du cabinet, notamment :

• Les associés, collaborateurs permanents et temporaires
• Les stagiaires et alternants
• Les prestataires externes intervenant dans le cadre de missions
• Les partenaires ayant accès aux outils IA du cabinet

Elle couvre l'utilisation de tous les outils d'intelligence artificielle, qu'ils soient :

• Fournis et gérés par le cabinet (outils internes ou licences professionnelles)
• Utilisés dans un contexte professionnel via un compte personnel (sous réserve de conformité)
• Intégrés dans des applications métiers ou des plateformes tierces (Pennylane, Cegid, etc.)

Article 3 : Définitions

Intelligence artificielle (IA)

Ensemble de technologies permettant à des systèmes informatiques de réaliser des tâches nécessitant traditionnellement l'intelligence humaine : apprentissage, raisonnement, perception, compréhension du langage naturel, prise de décision.

IA générative

Sous-catégorie de l'IA capable de créer du contenu nouveau (texte, images, code, tableaux) à partir de données d'entraînement. Exemples : ChatGPT, Claude, Microsoft Copilot…

IA non générative

Systèmes d'IA conçus pour analyser, classer, prédire ou recommander sans créer de nouveau contenu. Exemples : détection d'anomalies dans les FEC, analyse prédictive, moteurs de recommandation.

Données sensibles — contexte cabinet

Dans le contexte du Cabinet J.CAUSSE & ASSOCIES, les données sensibles incluent notamment :

• Données couvertes par le secret professionnel (Art. 226-13 du Code pénal) : informations financières, comptables, fiscales et juridiques des clients
• Données personnelles identifiantes (dirigeants, salariés, associés) soumises au RGPD
• Données relevant du secret des affaires : stratégie, contrats, données de valorisation
• Données d'audit : procédures, conclusions, lettres de mission CAC
• Informations confidentielles sur la situation financière des clients (liasses fiscales, FEC, bilans non publiés)

Article 4 : Périmètre et outils autorisés

L'utilisation de l'intelligence artificielle au sein du cabinet est strictement limitée aux outils et plateformes validés et autorisés par la direction. Cette approche par « liste blanche » vise à garantir la sécurité, la conformité et la maîtrise des technologies employées.

Processus de sélection et de validation de nouveaux outils

Toute proposition d'un nouvel outil d'IA doit être soumise au référent IA pour une analyse technique et de sécurité. La décision finale d'autorisation est prise par l'Associé-Référent IA après évaluation des risques et de la valeur ajoutée pour le cabinet.

Critères d'évaluation

• Sécurité des données. Hébergement (UE/hors UE), politique de confidentialité, possibilité de désactiver l'utilisation des données pour l'entraînement du modèle (opt-out).
• Conformité réglementaire. Respect du RGPD et des obligations professionnelles.
• Fiabilité et performance. Qualité des résultats, transparence du fonctionnement.
• Intégration. Capacité à s'intégrer dans les flux de travail existants.
• Coût et valeur ajoutée. Analyse du rapport bénéfice/risque/coût.

Accès aux outils IA payants

L'accès à tout outil d'intelligence artificielle donnant lieu à un abonnement ou un coût unitaire est subordonné à une validation préalable par un associé référent. Aucun abonnement IA ne peut être souscrit sur note de frais ou carte personnelle sans cette validation préalable.

Article 5 : Classification des usages (Feu tricolore)

Pour encadrer l'utilisation de l'IA de manière pragmatique, les usages sont classifiés en trois niveaux de risque, représentés par un code couleur. Chaque collaborateur doit impérativement identifier dans quelle zone se situe son besoin avant d'utiliser un outil d'IA.

Article 6 : Règles de protection des données

La protection des données confiées par nos clients et le respect du secret professionnel sont des obligations non négociables. L'utilisation de l'IA doit se faire dans le respect le plus strict de ces principes.

Principe n°1 — Zéro donnée client ou confidentielle dans les IA publiques

Il est formellement et sans exception interdit de soumettre, copier-coller ou téléverser une quelconque information permettant d'identifier un client (nom, raison sociale, SIREN), un de ses salariés, ou contenant des données chiffrées (bilans, bulletins de paie, etc.) ou stratégiques dans une IA publique.

Principe n°2 — Anonymisation systématique et respect du RGPD

Toute utilisation d'IA impliquant des données à caractère personnel doit être conforme au Règlement Général sur la Protection des Données. Pour tout usage relevant de la zone orange, les informations doivent être entièrement anonymisées.

Principe n°3 — Utilisation des environnements sécurisés

Les outils classés en zone verte (Microsoft Copilot, Manus, Pennylane IA, Geremy, Noota) sont autorisés pour le traitement de données professionnelles, y compris des données clients, car ils offrent des garanties contractuelles de sécurité et de confidentialité.

Principe n°4 — Désactivation de l'entraînement des modèles (Opt-Out)

Pour tout outil d'IA qui le permet, chaque collaborateur a l'obligation de configurer les paramètres de son compte pour désactiver l'historique des conversations et refuser l'utilisation de ses données pour l'entraînement des modèles.

Principe n°5 — Conformité à l'AI Act européen

Le Règlement européen sur l'IA (AI Act) établit une classification des systèmes IA par niveau de risque. Une attention particulière est portée aux usages potentiellement classifiés à risque élevé — notamment tout système IA utilisé pour assister une décision ayant un impact significatif sur un tiers.

Principe n°6 — Hébergement et souveraineté des données

Les outils validés par le cabinet (ChatGPT Entreprise, Claude Team, Microsoft Copilot via tenant M365) garantissent contractuellement la non-réutilisation des données saisies pour l'entraînement des modèles.

Article 7 : Responsabilités et validation

L'intelligence artificielle est un outil d'assistance : elle ne se substitue en aucun cas au jugement, à l'expertise et à la responsabilité du professionnel.

Principe n°1 — Le collaborateur est seul responsable

Chaque collaborateur est l'auteur et le responsable final de ses productions, y compris celles générées avec l'assistance d'une IA. Le collaborateur doit systématiquement exercer son esprit critique, vérifier la pertinence, l'exactitude et la cohérence des résultats produits par l'IA avant de les utiliser.

Principe n°2 — Chaîne de validation et supervision

Tout travail intégrant une production issue d'une IA doit suivre le processus de validation habituel du cabinet. Pour les missions d'expertise comptable et d'audit, l'utilisation d'une IA doit être documentée dans le dossier de travail.

Principe n°3 — Droit à l'erreur de l'IA, devoir de contrôle de l'humain

Le cabinet reconnaît que les outils d'IA ne sont pas infaillibles. Cependant, se fier aveuglément à une réponse de l'IA sans la contrôler constitue une faute professionnelle. Le devoir de supervision humaine est absolu.

Principe n°4 — Éthique et non-discrimination

Les contenus ou décisions produits par l'IA ne doivent comporter ni reproduire de stéréotypes ou biais discriminatoires. Une vigilance particulière est exercée sur les usages susceptibles d'affecter l'évaluation de personnes physiques.

Principe n°5 — Respect de la propriété intellectuelle

Les utilisateurs veillent à ce que les contenus générés respectent le droit d'auteur, les licences applicables et les droits des tiers.

Principe n°6 — Sobriété numérique

L'utilisation de l'IA doit être proportionnée aux besoins réels. Les collaborateurs sont invités à privilégier des usages efficients en limitant les itérations superflues.

Article 8 : Transparence client

La confiance de nos clients repose sur une communication transparente. Il est important de les informer de notre démarche d'innovation et de la manière dont nous utilisons les nouvelles technologies pour améliorer la qualité de nos services.

Principe — Information générale via la lettre de mission

Plutôt que de demander une autorisation pour chaque usage, nous intégrons une clause d'information générale dans nos lettres de mission.

Clause à intégrer dans les lettres de mission

Transparence et explicabilité

Lorsqu'un contenu est généré ou significativement assisté par l'IA, cela doit pouvoir être indiqué clairement, notamment en cas de diffusion externe ou de livrable client. Les collaborateurs doivent comprendre les limites des outils qu'ils emploient et en informer les clients lorsque cela est pertinent.

Article 9 : Gouvernance et révision

L'intelligence artificielle est un domaine en évolution rapide. La présente charte n'est pas un document figé, mais le socle d'une gouvernance dynamique et adaptative.

Principe n°1 — Pilotage par le Référent IA

La gouvernance de l'IA au sein du cabinet est assurée par le binôme composé de l'Associé-Référent et du DSI. Leurs missions incluent :

• Animer la démarche IA : Promouvoir les bonnes pratiques, organiser des sessions de formation et d'information
• Être le point de contact : Répondre à toute question des collaborateurs
• Assurer la veille technologique et réglementaire : Suivre les évolutions des outils et des lois
• Gérer la liste blanche : Instruire les demandes de nouveaux outils et maintenir à jour la liste des solutions autorisées

Principe n°2 — Révision annuelle

La charte fera l'objet d'une révision formelle au minimum une fois par an, sous la responsabilité du Référent IA.

Principe n°3 — Gestion des incidents

Tout incident ou suspicion d'incident lié à l'utilisation de l'IA doit être immédiatement signalé au DSI et à l'associé référent. Une analyse sera menée pour comprendre les causes et mettre en place les actions correctives nécessaires.

Principe n°4 — Formation continue

Le cabinet s'engage à assurer une formation continue de ses collaborateurs sur les enjeux, les opportunités et les risques liés à l'intelligence artificielle.

Article 10 : Cas d'usage et bonnes pratiques métier

Expertise comptable

• Rédaction assistée de lettres de mission, rapports de gestion, notes de synthèse (usage Vert si aucune donnée client nominative)
• Analyse et revue de FEC après pseudonymisation des identifiants clients (usage Orange)
• Assistance à la préparation des liasses fiscales et déclarations — avec vérification humaine obligatoire
• Génération de rapports types, modèles de courriers, supports de présentation client
• Veille fiscale et réglementaire assistée (Loi de Finances, normes comptables ANC)

Commissariat aux comptes

• Assistance à la documentation des dossiers d'audit (mémos, notes de procédure) sur données anonymisées
• Support à la rédaction de rapports CAC types — le rapport final restant sous la responsabilité exclusive du CAC signataire
• Analyse assistée d'indicateurs de continuité d'exploitation (NEP 570) — avec jugement professionnel renforcé
• Interdiction formelle de soumettre des données d'audit nominatives à un outil IA externe non certifié

Productivité interne

• Rédaction et synthèse de documents internes, emails, comptes-rendus de réunion
• Traduction de contenus professionnels
• Assistance à la programmation (macros Excel, scripts Power Automate)
• Brainstorming, structuration d'idées, préparation de supports de formation

Annexe 1 : Outils autorisés et conditions d'usage

Liste des outils validés à la date de la charte (février 2026) :

Annexe 2 : Processus de validation d'un nouvel outil IA

Avant toute utilisation d'un outil IA non listé en Annexe 1, le processus suivant doit être respecté :

Étape 1 — Expression du besoin

Le collaborateur ou manager formalise le besoin auprès de la DSI en précisant : l'objectif et les cas d'usage visés, le type de données qui seront traitées, les bénéfices attendus et les risques potentiels, le nombre d'utilisateurs concernés.

Étape 2 — Évaluation technique (DSI)

La DSI évalue l'outil sur : la sécurité et la conformité aux standards du cabinet, les modalités d'hébergement des données (localisation, souveraineté), la compatibilité avec l'environnement Microsoft 365 / Azure, les coûts et le modèle de licence.

Étape 3 — Analyse de conformité

Vérification de la conformité RGPD (notamment absence de réentraînement sur les données saisies), des CGU du fournisseur, des droits de propriété intellectuelle sur les contenus générés, et de la nécessité d'une AIPD si des données clients sont impliquées.

Étape 4 — Décision

Sur la base des évaluations techniques et de conformité, une décision est prise par l'associé référent : validation complète, validation conditionnelle (usage restreint, données anonymisées uniquement), ou refus avec proposition d'alternative.

Étape 5 — Déploiement et communication

En cas de validation : formation des utilisateurs concernés, communication sur les conditions d'usage, mise à jour de l'Annexe 1, mise en place d'un suivi d'usage. Délai cible : 10 jours ouvrés pour une demande standard.

Annexe 3 : Matrice des responsabilités (RACI)

La matrice de responsabilité définit les rôles de chacun dans la gouvernance IA :

• A (Autorité) : Prend la décision finale
• R (Responsable) : Responsable de la réalisation
• C (Consulté) : Doit être consulté avant décision
• I (Informé) : Doit être informé des décisions