De plus en plus d’organisations québécoises intègrent ChatGPT, Claude ou Copilot dans leurs outils internes. Productivité boostée, mais aussi nouveaux risques de conformité Loi 25 que peu d’équipes ont vraiment évalués.
Risque 1 : Renseignements personnels envoyés à un fournisseur étranger
Quand un employé colle des données de clients dans ChatGPT pour résumer ou analyser, ces renseignements personnels traversent la frontière. La Loi 25 exige une analyse particulière pour les communications hors Québec, et une transparence auprès des personnes concernées.
Risque 2 : Pas d’ÉFVP pour les projets IA
Tout projet d’acquisition, de développement ou de refonte d’un système d’information impliquant des renseignements personnels exige une évaluation des facteurs relatifs à la vie privée. L’intégration d’un agent IA qui traite des données clients y entre clairement.
Risque 3 : Décisions automatisées sans humain dans la boucle
La Loi 25 exige que les personnes puissent obtenir une explication des décisions prises à leur sujet par un système entièrement automatisé. Un chatbot qui refuse une demande client doit pouvoir expliquer pourquoi, et permettre une révision humaine.
Mesures concrètes à mettre en place
- Politique interne d’usage de l’IA avec interdiction claire de coller des renseignements personnels dans des outils publics
- Plans entreprise (OpenAI Enterprise, Anthropic Enterprise) qui garantissent la non-utilisation des données pour entraînement
- Déploiements locaux ou cloud privé pour les cas hautement sensibles (modèles open-source comme Llama, Mistral)
- ÉFVP documentée pour chaque nouveau cas d’usage IA
- Formation des employés aux pièges de l’IA et à la confidentialité
- Logs d’interaction conservés et auditables
L’opportunité
Les organisations qui prennent ces questions au sérieux maintenant prennent une longueur d’avance. Elles peuvent intégrer l’IA dans leurs opérations sans accumuler de dette de conformité qu’il faudra rembourser plus tard.