TL;DR : Vos employés utilisent déjà l'IA, avec ou sans cadre. Une politique d'utilisation claire vaut mieux qu'une interdiction qu'on contourne : elle nomme les outils permis, classe les données selon ce qui peut y entrer ou non, et fixe quand une relecture humaine s'impose. Plus bas, on vous donne un tableau de classement des données et un modèle de politique en une page, prêts à adapter. Et le meilleur complément à une politique, c'est d'offrir un outil approuvé (idéalement privé) pour que personne n'ait à improviser.
Que vous l'ayez autorisée ou non, l'intelligence artificielle est déjà entrée dans votre organisation. En ce moment même, des bouts de courriels, de contrats ou de données clients passent peut-être dans des outils grand public, par simple souci d'efficacité. La question n'est donc plus « est-ce qu'on permet l'IA », mais « est-ce qu'on l'encadre, ou est-ce qu'on ferme les yeux ».
Pourquoi une politique, et pas juste une interdiction
Interdire l'IA ne fait pas disparaître son usage, ça le pousse dans l'ombre. Les gens trouvent ces outils trop utiles pour s'en passer : ils les utiliseront sur leur téléphone personnel si on les bloque au bureau. Une politique reconnaît cette réalité et la canalise : elle fixe des règles compréhensibles plutôt qu'un mur que tout le monde contourne.
Il y a aussi un angle qu'on oublie : sans cadre, c'est l'employé le plus prudent qui est pénalisé. Celui qui refuse de coller un dossier client dans un outil gratuit travaille plus lentement que le collègue qui le fait sans se poser de question. Une politique remet tout le monde sur la même ligne et enlève la zone grise.
Le vrai risque
Avant de parler de règles, ça vaut la peine de nommer ce qu'on cherche à éviter. Le risque de l'IA en milieu de travail tient en trois points concrets.
La fuite de données. Tout ce que vous collez dans un outil grand public part sur des serveurs que vous ne contrôlez pas, souvent à l'étranger. Selon les conditions d'utilisation, ces contenus peuvent servir à entraîner le modèle. Un dossier d'employé, une liste de prix, une stratégie déposée la veille d'un appel d'offres : une fois sortis, ils ne reviennent pas.
L'erreur présentée avec aplomb. Un assistant IA n'a pas de notion de vrai ou de faux. Il produit la réponse la plus plausible, et il le fait avec une assurance totale, même quand il invente un chiffre, une clause de contrat ou une référence légale. Sans relecture, cette erreur se retrouve dans un courriel client ou un document officiel.
Le flou sur la propriété. Qui possède le texte généré? Est-il libre de droits? Reprend-il, sans le dire, le contenu protégé de quelqu'un d'autre? Pour du contenu qui sort de l'organisation, ces questions ne sont pas théoriques.
Ce qu'une bonne politique couvre
Une politique utile reste courte et concrète. Elle ne décrit pas l'IA en général, elle répond aux questions que vos employés se posent vraiment quand ils ouvrent l'outil. En pratique, elle tient en quelques clauses :
- Les outils approuvés. Une liste nommée, pas « les outils sérieux ». On dit lesquels sont permis, et qui peut en ajouter un.
- Le classement des données. Ce qui peut être utilisé avec l'IA, et ce qui ne doit jamais y entrer. C'est le cœur de la politique (voir le tableau plus bas).
- La relecture humaine. Tout ce qui sort de l'organisation, tout chiffre, tout fait, toute référence : un humain valide avant l'envoi.
- La propriété de ce qui est produit. Comment on traite le contenu généré, et ce qu'on peut en faire.
- Le point de contact. À qui poser ses questions en cas de doute. Sans ça, chacun tranche seul, et mal.
Si une clause prend plus de deux phrases à expliquer, c'est probablement qu'elle est trop fine pour une politique et qu'elle relève plutôt de la formation.
Quelles données peuvent aller où
C'est la partie que les gens cherchent vraiment : une règle simple pour savoir, sur le coup, si on peut coller ce bout de texte ou non. Un classement en trois niveaux suffit pour la plupart des PME.
| Type de donnée | Exemples | Où ça peut aller |
|---|---|---|
| Public | Texte déjà publié, contenu de votre site, communiqués, descriptions de produits | Outil grand public permis sans souci |
| Interne non sensible | Brouillons généraux, gabarits, notes de réunion sans nom de personne ni donnée client | Outil approuvé seulement, avec prudence |
| Confidentiel | Dossiers clients, données RH, contrats, états financiers, renseignements personnels, données de santé | Jamais dans une IA grand public : outil privé hébergé chez vous, ou rien du tout |
La règle de poche à retenir : si vous ne mettriez pas l'information sur une affiche dans la salle d'attente, elle ne va pas dans un outil grand public. En cas de doute, on traite comme confidentiel.
Le lien avec la Loi 25
C'est le point que trop d'organisations négligent : déposer un renseignement personnel dans une IA grand public, c'est potentiellement le communiquer à un tiers, souvent à l'extérieur du Québec. Sous la Loi 25, ça ne se fait pas à la légère.
Une organisation qui confie des renseignements personnels à un fournisseur situé hors Québec doit évaluer si la protection reste comparable, et selon le projet, mener une évaluation des facteurs relatifs à la vie privée (ÉFVP). Coller le dossier d'un client dans un outil gratuit court-circuite tout ça, sans trace et sans consentement. Et ce n'est pas qu'une crainte abstraite : en 2026, une enquête conjointe des autorités canadiennes de protection des renseignements personnels a conclu que certaines pratiques d'OpenAI (ChatGPT) n'étaient pas conformes à leurs lois.
Une politique d'IA n'est donc pas un luxe de grande entreprise, c'est une pièce naturelle de votre conformité. Elle traduit en gestes quotidiens une obligation que vous avez déjà.
La meilleure politique du monde échoue si l'alternative officielle n'existe pas. On met en place des assistants IA privés, qui gardent vos données à l'interne, pour que vos équipes aient un outil approuvé plutôt qu'une tentation. Parlons de votre usage de l'IA.
Faire vivre la politique
Une politique qui dort dans un dossier partagé ne protège personne. Trois choses font la différence entre un document décoratif et un cadre réellement appliqué.
Une présentation courte au lieu d'un envoi par courriel. Quinze minutes à une réunion d'équipe, avec deux ou trois exemples tirés de votre quotidien, valent mieux qu'un PDF que personne n'ouvre. Les gens retiennent les scénarios, pas les clauses.
Un outil approuvé et agréable à utiliser. Si l'option permise est plus lente ou plus pénible que l'outil grand public, vos employés retourneront à ce dernier. L'adoption suit le confort, pas le règlement.
Une révision une fois par an. Le paysage des outils change vite. Une politique écrite il y a dix-huit mois mentionne probablement des outils que personne n'utilise et en ignore d'autres devenus incontournables.
Les erreurs à éviter
La pire : une politique de douze pages que personne ne lit. La deuxième : une politique sans outil de rechange, qui interdit sans offrir d'option viable. Et la troisième, plus subtile : un ton policier qui fait passer l'IA pour un piège. Vos employés s'en servent parce qu'elle les aide. Une politique qui le reconnaît et qui balise l'usage sera suivie. Une politique qui agite la menace finit dans un tiroir, et l'usage sauvage reprend.
Votre politique tient en une page. Le squelette à adapter :
- But : encadrer l'usage de l'IA pour en tirer profit sans exposer nos données.
- Outils approuvés : la liste nommée, et qui peut la modifier.
- Classement des données : public, interne, confidentiel : ce qui va où.
- Renseignements personnels : jamais dans un outil grand public (Loi 25).
- Relecture humaine : tout ce qui sort, tout chiffre, tout fait est validé.
- Exactitude : l'IA peut inventer : on vérifie avant d'utiliser.
- Point de contact : à qui s'adresser en cas de doute.
Comment on s'y prend
On aide à rédiger une politique adaptée à votre réalité (pas un modèle générique copié d'ailleurs), on la relie à votre démarche Loi 25, et on déploie l'outil privé qui la rend applicable. L'objectif n'est pas de freiner l'IA, c'est d'en récolter les bénéfices sans ouvrir une brèche.
L'IA est déjà chez vous, sans règles? On vous aide à poser le cadre.
Sources
- Commission d'accès à l'information du Québec : principaux changements apportés par la Loi 25
- Enquête conjointe des autorités canadiennes sur OpenAI – ChatGPT (mai 2026) : pratiques jugées non conformes aux lois de protection des renseignements personnels