What is an AI policy template and what should it include?

An AI policy template is a pre-built document organisations adapt to govern how employees use artificial intelligence tools at work. A complete AI policy template covers: scope (who the policy applies to), a list of approved AI tools and the approval process for new tools, data classification rules that specify which data can and cannot be entered into AI systems, prohibited uses such as generating discriminatory content or exfiltrating sensitive data, accountability and incident reporting procedures, and a review schedule. This template is designed to be customised with your organisation's specific tools, data tiers, and contact details before distribution.

What should an AI acceptable use policy cover?

An AI acceptable use policy should cover: the scope of who it applies to (employees, contractors, third parties); a list of approved AI tools and the process for getting new tools approved; data classification rules specifying what data can and cannot be entered into AI tools; prohibited uses such as generating discriminatory content, creating deepfakes, or circumventing security controls; accountability and incident reporting obligations; and a review schedule. Without these elements the policy cannot be enforced and provides no legal basis for action.

What is the difference between an AI acceptable use policy and an AI policy?

An AI policy is the broad governing document that sets your organisation's overall position on AI: principles, roles, risk appetite, procurement standards, and how AI decisions are made and overseen. An AI acceptable use policy (AUP) is the narrower, employee-facing rulebook that sits inside that programme and tells staff exactly what they can and cannot do with AI tools day to day: which tools are approved, what data is allowed, and what is prohibited. In practice the AUP is the part employees sign and the part you actually enforce. Many organisations publish one combined document, but the acceptable use rules are the operative section.

How often should you update an AI acceptable use policy?

Review an AI acceptable use policy at least annually, and sooner whenever something material changes: a new AI tool is approved or banned, a vendor changes its data handling or training terms, your data classification scheme changes, or a regulation such as the EU AI Act reaches a new compliance milestone. Because the approved tools list and data rules move faster than the rest of the document, keep them in an appendix you can revise without reissuing the whole policy. Record a version number, the review date, and the owner so auditors can see the policy is actively maintained.

Do I need a separate policy for ChatGPT?

You do not need a separate ChatGPT policy if your AI acceptable use policy includes a clear approved tools list and data handling rules. Reference ChatGPT by name in your approved or prohibited tools list as appropriate. If ChatGPT Enterprise is approved for internal use, specify which version, which data tiers are permitted, and whether your contract with OpenAI includes a no-training clause. A single comprehensive policy that names specific tools is cleaner to enforce than multiple tool-specific documents.

Is an AI acceptable use policy required under the EU AI Act?

The EU AI Act does not prescribe an acceptable use policy by name, but it does require deployers of high-risk AI systems to implement appropriate governance measures, conduct fundamental rights impact assessments, and maintain human oversight. ISO 42001 (AI Management Systems) and NIST AI RMF both explicitly require documented AI use policies as part of a compliant AI governance programme. Regulators and auditors increasingly expect to see a documented AI policy as baseline evidence of AI governance maturity.

How do I enforce an AI acceptable use policy?

Enforcing an AI acceptable use policy requires both technical controls and procedural measures. Technical controls include blocking unapproved AI tools at the network or endpoint level, deploying data loss prevention (DLP) tools that detect sensitive data being sent to AI services, and using an AI security platform to monitor which AI tools employees are accessing. Procedural measures include requiring employees to sign the policy, training staff on their obligations, logging violations, and having a clear disciplinary process. A policy without technical enforcement is aspirational, not operational.

Profitez de 90 jours d'essai gratuit pour cartographier vos risques d'IA générative :90 jours d'essai gratuit, risques IA générative :Commencer

Demander une démo

Modèle gratuit de politique IA

Modèle de politique d'usage
acceptable de l'IA

Modèle gratuit de politique IA pour les collaborateurs, couvrant les outils autorisés, les règles de classification des données, les usages interdits et les exigences de conformité. Le modèle de gouvernance de l'IA le plus téléchargé par les équipes de sécurité d'entreprise.

Télécharger le modèle Demander une démo

Dernière mise à jour : 23 juin 2026

Une politique d'usage acceptable de l'IA est le règlement destiné aux collaborateurs qui définit comment le personnel peut utiliser les outils d'IA au travail : quels outils sont approuvés, quelles données peuvent y être saisies et quels usages sont interdits. En 2026, une politique exploitable doit couvrir six éléments : le périmètre (à qui elle s'applique), une liste des outils approuvés et le processus pour en ajouter de nouveaux, des règles de classification des données sur ce qui peut et ne peut pas être saisi dans l'IA, les usages interdits, la responsabilité et le signalement des incidents, ainsi qu'un cycle de révision.

Pour la mettre en œuvre, inventoriez les outils d'IA déjà utilisés (y compris le Shadow AI), associez vos niveaux de classification des données à des règles claires d'autorisation et d'interdiction, nommez le responsable et le contact de signalement, puis diffusez-la pour que les collaborateurs en accusent réception. Le modèle ci-dessous est prêt à être complété. La partie que la plupart des politiques négligent est l'application : un document à lui seul n'empêche pas des données sensibles d'atteindre un outil d'IA. La section qui suit le modèle montre donc comment chaque clause correspond à un contrôle technique que vous pouvez réellement exécuter.

0 %

des collaborateurs utilisent l'IA au travail

0 sections

couverture complète de la politique

0 référentiels

EU AI Act, ISO 42001, NIST

Gratuit

d'utilisation et de personnalisation

Pourquoi vous avez besoin d'une politique d'usage acceptable de l'IA

La plupart des organisations ont déployé des outils d'IA sans politique formelle régissant la manière dont les collaborateurs peuvent les utiliser. Cela crée un risque juridique, réglementaire et réputationnel réel, en particulier à mesure que les régulateurs commencent à faire appliquer les exigences de gouvernance de l'IA.

78 %

Les collaborateurs utilisent des outils d'IA sans l'aval de l'informatique

La majeure partie de l'adoption de l'IA se fait en dehors des circuits autorisés, créant une exposition des données non maîtrisée.

La plupart des organisations n'ont aucune politique IA formelle

Sans politique documentée, il n'existe aucune base juridique pour faire appliquer les règles d'usage de l'IA ou prendre des mesures disciplinaires.

Des référentiels réglementaires exigent désormais une gouvernance de l'IA

L'EU AI Act, l'ISO 42001 et le NIST AI RMF exigent tous une gouvernance de l'IA documentée, y compris des politiques d'usage.

24 h

La réponse aux incidents requiert une politique de référence

Sans politique, vous ne pouvez pas déterminer si un incident de données lié à l'IA constitue une violation, ni évaluer la responsabilité.

Le modèle de politique

Cliquez sur chaque section pour développer le texte de la politique. Personnalisez les espaces réservés en surbrillance pour votre organisation.

Cette politique régit l'utilisation des outils et services d'intelligence artificielle (IA) par l'ensemble des collaborateurs, prestataires et tiers agissant pour le compte de [Organisation Name]. Elle s'applique à tous les outils d'IA utilisés à des fins professionnelles, qu'ils soient accessibles via des appareils de l'entreprise ou des appareils personnels.

Télécharger la politique complète

Comment adapter ce modèle à votre organisation

Le modèle ci-dessus est un point de départ. Suivez ces étapes pour en faire une politique applicable adaptée à votre environnement spécifique.

Ajoutez le nom de votre organisation

Remplacez toutes les occurrences de [Organisation Name] par le nom de votre entité légale.

Constituez votre liste d'outils approuvés

Renseignez l'annexe A avec des outils d'IA précis, leurs versions et toute restriction de cas d'usage approuvée. Indiquez le contact de la sécurité informatique pour les demandes de nouveaux outils.

Associez vos niveaux de classification des données

Alignez la section 3 sur votre politique de classification des données existante. Ajoutez les noms des niveaux (par ex. Restreint, Confidentiel, Interne, Public) et toute règle spécifique à un outil.

Nommez vos contacts de signalement

Remplacez [IT Security Contact] par une personne nommée ou un alias d'équipe. Incluez une chaîne d'escalade pour les incidents pouvant impliquer une notification réglementaire.

Définissez votre cycle de révision

Définissez la fréquence de révision (annuelle au minimum), nommez le responsable de la politique et ajoutez un tableau d'historique des versions pour que les auditeurs puissent suivre les modifications.

De la politique à l'application

Un PDF de politique n'empêche personne de coller des données client dans un chatbot. Chaque clause du modèle ci-dessus correspond à un contrôle que vous pouvez exécuter. C'est la partie que la plupart des guides de politique IA omettent, et c'est ce qui transforme une règle écrite en quelque chose que vous pouvez prouver.

Clause de la politique

Comment Aona l'applique

Liste des outils approuvés (Section 2)

Aona découvre chaque outil d'IA utilisé grâce à un plugin de navigateur pour Chrome, Edge et Firefox et à une application native sur les postes pour Windows et macOS, en comparant l'usage à un catalogue de plus de 5 600 outils d'IA. Vous voyez qui utilise quel outil, y compris le Shadow AI que personne n'a approuvé, et vous êtes alerté lorsqu'un outil non approuvé apparaît, de sorte que les listes d'autorisation et de blocage de votre politique reposent sur une visibilité réelle.

Règles de classification des données (Section 3)

Lorsqu'un collaborateur soumet une invite ou téléverse un fichier, Aona inspecte le contenu côté serveur avant qu'il n'atteigne le modèle, classifie toute donnée sensible (PII, dossiers financiers, code source, documents confidentiels) et applique votre politique. Les données que votre politique interdit de saisir dans un outil d'IA sont interceptées au moment de la soumission, et non découvertes plus tard lors d'un audit.

Usages interdits (Section 4)

Lorsqu'une invite ou un fichier enfreint les règles, Aona le bloque fermement avec une fenêtre modale sans option « accepter et continuer », ou caviarde la partie sensible avant que la requête ne passe, selon la politique que vous définissez par équipe, outil et type de données. L'interdiction est appliquée au moment de l'usage, plutôt que de compter sur la mémoire du personnel.

Responsabilité et signalement (Section 5)

Chaque inspection, blocage et caviardage est journalisé, donnant à votre équipe de sécurité la piste d'audit dont dépendent le signalement des incidents et les procédures disciplinaires. Les données restent hébergées dans la région que vous avez choisie parmi 7 régions actives, et Aona est certifié SOC 2 Type II.

Découvrez comment cela fonctionne pour l'ensemble de vos collaborateurs sur Workforce AI Security, ou explorez la plateforme Aona. Cette page est informative et ne constitue pas un conseil juridique.

FAQ

Questions fréquentes

Une politique d'usage acceptable de l'IA doit couvrir : le périmètre des personnes concernées (collaborateurs, prestataires, tiers) ; une liste des outils d'IA approuvés et le processus pour faire approuver de nouveaux outils ; des règles de classification des données précisant quelles données peuvent et ne peuvent pas être saisies dans les outils d'IA ; les usages interdits, tels que générer du contenu discriminant, créer des deepfakes ou contourner les contrôles de sécurité ; les obligations de responsabilité et de signalement des incidents ; et un calendrier de révision. Sans ces éléments, la politique ne peut pas être appliquée et n'offre aucune base juridique pour agir.

Pour commencer

Appliquez votre politique IA automatiquement

Une politique écrite n'est que la première étape. Aona applique votre politique d'usage acceptable de l'IA en temps réel, en bloquant les outils non approuvés, en détectant les données sensibles envoyées vers des services d'IA et en générant la piste d'audit dont votre équipe de conformité a besoin.

Demander une démo

Modèles de gouvernance de l'IA associés

Charte du comité de gouvernance de l'IA Modèle d'évaluation des risques IA Guide de classification des données IA Évaluation de la maturité de la gouvernance de l'IA Suivi de conformité réglementaire IA Plateforme Aona AI Cadre de gouvernance de l'IA Tous les modèles de gouvernance de l'IA

Modèle de politique d'usageacceptable de l'IA

Appliquez votre politique IA automatiquement

Modèle de politique d'usage
acceptable de l'IA