Ce questionnaire permet d’évaluer le niveau de maturité de l’organisation dans l’usage des IA génératives
Utiliser l’échelle suivante pour chaque question :
0 = A faire.
1 = En réflexion.
2 = Partiellement en place.
3 = Majoritairement en place.
4 = Complètement opérationnel et appliqué.
- Une charte ou politique écrite encadre-t-elle l’usage de L’IA dans l’entreprise?
- Un référent, comité ou responsable a-t-il été désigné pour les questions liées à l’IA générative ?
- Les règles internes couvrent-elles les usages techniques, juridique et marketing ?
- Les équipes savent-elles choisir l’IA la mieux adaptée à un besoin particulier ?
- Existe-t-il un moyen de traçabilité et d’audit des usages ?
- Existe-t-il des règles et une procédure de suppression des prompts et des discussions ?
- Les collaborateurs ont-ils reçu une règle claire interdisant la saisie de données confidentielles dans l’IA ?
- Les données personnelles sont-elles exclues, anonymisées ou strictement encadrées avant tout usage de l’outil ?
- Les contrats clients ou engagements de confidentialité prévoient-ils des restrictions particulières sur l’usage d’outils d’IA ?
- Les équipes connaissent-elles les données métiers confidentielles qu’il ne faut jamais copier dans un prompt ?
- L’usage l’IA se fait-il uniquement via des comptes et outils approuvés par l’entreprise ?
- Les paramètres de confidentialité disponibles sont-ils configurés conformément à la politique interne ?
- Des contrôles empêchent-ils l’envoi accidentel de secrets, clés, mots de passe ou code sensible ?
- Les usages de l’IA générative sont-ils intégrés au dispositif de sécurité ou de sensibilisation cyber ?
- Tout contenu généré par IA fait-il l’objet d’une relecture humaine avant réutilisation ?
- Les codes et scripts informatiques générés sont-ils soumis aux mêmes exigences de tests, de revue et de sécurité que le code produit sans IA ?
- Les équipes savent-elles que L’IA peut produire des erreurs ou des références inexactes ?
- Une validation métier ou contractuelle est-elle prévue avant envoi d’un livrable client assisté par IA ?
- Des exemples d’usages autorisés et interdits existent-ils pour les développeurs, consultants, support et chefs de projet ?
- Les équipes disposent-elles de modèles de prompts sûrs reposant sur des données fictives ou génériques ?
- Les managers savent-ils distinguer un usage d’assistance légitime d’un usage créant un risque client ou réglementaire ?
- Les projets sensibles font-ils l’objet de restrictions ou d’un encadrement renforcé ?
- L’historique des conversations IA est-il organisé (par thématique, durée de conservation, services, etc)
- Dispose-t-on d’une visibilité sur les usages IA en termes de fréquence, coût et efficacité ?
F. Formation et amélioration continue
- Une formation ou sensibilisation à l’IA générative a-t-elle déjà été déployée ?
- Les nouveaux arrivants reçoivent-ils des consignes sur l’usage de L’IA dans l’entreprise ?
- Les incidents, erreurs ou usages non conformes font-ils l’objet d’un retour d’expérience ?
- La charte est-elle revue périodiquement selon l’évolution des outils et du cadre réglementaire ?
Interprétation des scores
| Score total sur 96 | Niveau de maturité | Commentaire |
| 0 à 24 | Faible | L’usage de l’IA n’est pas encadré ou l’est très peu, avec un niveau de risque élevé |
| 25 à 48 | Initial | Des règles existent, mais elles sont partielles, peu diffusées ou peu appliquées |
| 49 à 72 | Intermédiaire | Le cadre est en place sur les points principaux, avec encore des écarts selon les équipes |
| 73 à 96 | Avancé | L’entreprise dispose d’une gouvernance structurée, de règles connues et de contrôles cohérents |
En cas de score faible ou initial, les priorités consistent à formaliser une charte, interdire explicitement l’envoi de données sensibles, définir des usages autorisés par métier et imposer une validation humaine systématique des livrables. En cas de score intermédiaire, les priorités portent sur l’harmonisation entre équipes, la revue des clauses clients, la formation et la configuration des outils approuvés.
Pour être opérationnelle, la charte peut être annexée à la charte informatique, diffusée à l’ensemble des équipes et intégrée au parcours de recrutement et aux revues de projet. Une version courte d’une page peut également être affichée sous forme de mémo rappelant les interdictions absolues, les cas d’usage autorisés et la règle de validation humaine.
Contact : Benoit SARTON anime le groupe RGPD de la CNEJITA ( compagnie nationale des experts de justice) Au-delà du conseil et de la formation il apporte des outils et une méthodologie adaptés à l’entreprise, à son domaine et à son niveau existant de conformité
(c) Hysope conseil / BSI 4 juin 2026