· ARTICLE DE FOND
Ce que vous faites chaque jour avec ChatGPT ou Claude.ai expose vos clients, vos données et votre organisation — sans que personne ne vous l'ait dit clairement.
En 2024, plus de 77 % des travailleurs canadiens utilisaient des outils d'IA générative au travail, selon le Conference Board du Canada. Au Québec, les PME ont adopté ChatGPT, Claude, Copilot et d'autres assistants à une vitesse remarquable. C'est une bonne nouvelle pour la productivité.
Le problème, c'est que cette adoption s'est faite en silence, sans politique, sans formation et sans évaluation des risques. L'employé qui prépare une soumission, le comptable qui analyse un bilan, la réceptionniste qui rédige un courriel à partir d'un dossier patient — ils utilisent tous ces outils avec la meilleure intention. Personne ne leur a dit que c'était possiblement problématique au regard de la loi.
La loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est en vigueur depuis septembre 2022, avec son déploiement complet en septembre 2024. Elle s'applique à toutes les entreprises québécoises, sans exception de taille.
L'obligation centrale qui concerne l'IA est l'article sur les transferts hors Québec : avant de communiquer des renseignements personnels à un tiers situé à l'extérieur du Québec, l'entreprise doit réaliser une Évaluation des Facteurs relatifs à la Vie Privée (EFVP). Cette évaluation documente les risques, les mesures de protection et justifie la décision de transférer.
Quand un employé copie un dossier client dans ChatGPT, les données partent vers des serveurs d'OpenAI aux États-Unis. Quand il utilise Claude.ai, elles vont chez Anthropic, en Californie. Ces transferts sont réels, documentables, et ils se produisent des dizaines de fois par jour dans la majorité des PME québécoises — sans EFVP, sans politique, sans consentement formalisé.
Parlons chiffres. Parce que c'est là que la conversation devient concrète pour un dirigeant.
Pour une PME de 50 employés avec 2 millions en revenus, une sanction administrative à 2 % du chiffre d'affaires représente 40 000 $. Ce n'est pas une amende abstraite — c'est souvent l'équivalent d'un trimestre de profit net. Et si un incident de confidentialité implique 500 clients, les dommages-intérêts punitifs minimaux atteignent 500 000 $.
(Sources : CAI Québec, cadre de sanctions 2024; Commission d'accès à l'information, site officiel)
Ce chiffre devrait faire arrêter n'importe quel dirigeant. En juin 2023, le Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de l'Université de Sherbrooke a sondé 100 PME et OBNL québécois. Résultat : 40 % se disaient prêts pour la loi 25. Après analyse rigoureuse, seulement 3 % l'étaient réellement.
La firme française Axeptio est arrivée à une conclusion similaire au même moment, avec 5 % de conformité effective. Autrement dit, 95 à 97 % des organisations québécoises utilisaient déjà des outils numériques en infraction partielle ou totale avec la loi — et c'était avant l'explosion de l'IA générative.
Depuis, l'adoption de l'IA a quadruplé dans les PME. La situation ne s'est pas améliorée. Elle s'est aggravée, silencieusement, un courriel ChatGPT à la fois.
Soyons clairs : l'intelligence artificielle est un levier extraordinaire pour les PME québécoises. Le Lac-Saint-Jean, la Côte-Nord, le Saguenay — nos régions ont tout à gagner d'outils qui amplifient la capacité de nos entrepreneurs à faire plus avec moins.
Le problème n'est pas l'IA. Le problème, c'est d'utiliser des outils d'IA en mode « consommateur personnel » dans un contexte professionnel, avec des données appartenant à des tiers — sans encadrement légal. La nuance est importante : la même tâche effectuée avec les bons mécanismes en place (EFVP, politique de gouvernance, RPRP désigné) est parfaitement légale et productive.
La bonne nouvelle, c'est que la loi 25 récompense la proactivité. Selon la CAI, une entreprise ayant entamé des démarches concrètes de conformité, même incomplètes, verra ses sanctions considérablement allégées en cas d'incident. La direction prise compte autant que l'état actuel.
Voici les trois actions minimales qui démontrent une démarche de bonne foi — et qui réduisent votre exposition significativement :
Désigner officiellement un RPRP — même si c'est vous, le dirigeant. Publier son nom et ses coordonnées sur votre site web.
Faire l'inventaire des outils d'IA utilisés par vos employés — ChatGPT, Claude, Copilot, Gemini, outils de traduction automatique. Identifier quelles données y transitent.
Établir une politique minimale d'utilisation de l'IA — une page suffit au départ. Interdire explicitement l'entrée de renseignements personnels de clients dans des outils non évalués.
Ces trois actions ne règlent pas tout. Mais elles placent votre organisation dans une posture de bonne foi documentée — ce qui change radicalement l'issue d'une enquête éventuelle.