· ARTICLE DE FOND
Une solution concrète existe. Elle tient sur un serveur, se déploie en quelques jours, et règle à la source les problèmes de conformité que l'article 1 a identifiés.
L'article 1 de cette série a établi le problème clairement : utiliser ChatGPT, Claude ou Copilot avec des données clients constitue un transfert hors Québec non encadré, potentiellement en infraction avec la loi 25. La majorité des PME québécoises sont dans cette situation.
La bonne nouvelle, c'est que la solution technologique n'a pas besoin d'être inventée. Elle existe, elle est mature, elle est accessible financièrement — et elle s'appelle le Private AI, ou IA auto-hébergée.
Le concept est simple : plutôt que d'envoyer vos requêtes vers des serveurs en Californie, vous déployez un modèle de langage directement sur votre propre infrastructure. Les données ne quittent jamais votre réseau. Vos employés accèdent à un assistant IA aussi puissant que les outils commerciaux — via une interface web familière — mais l'ensemble du traitement se fait sur vos machines, dans votre juridiction.
Reprenons les obligations de la loi 25 identifiées dans l'article 1 et voyons ce que le Private AI résout à la source — pas en ajoutant des processus, mais en éliminant le problème.
Premier enjeu : le transfert hors Québec. La loi exige une EFVP avant tout transfert de renseignements personnels vers l'extérieur de la province. Avec un modèle déployé sur un serveur situé dans les locaux de l'organisation — ou chez un hébergeur québécois ou canadien — il n'y a tout simplement pas de transfert. L'obligation d'EFVP tombe d'elle-même.
Deuxième enjeu : la traçabilité et l'auditabilité. La loi exige que le RPRP puisse répondre de chaque traitement. Un système interne peut être configuré pour enregistrer les journaux d'accès, les utilisateurs, les types de requêtes — sans enregistrer le contenu confidentiel. Cette traçabilité est impossible avec un outil SaaS tiers où les logs appartiennent au fournisseur.
Troisième enjeu : les mesures de sécurité proportionnelles. La loi 25 exige des mesures adaptées au niveau de sensibilité des données. Un serveur interne peut être isolé du réseau public, protégé par authentification forte, sauvegardé selon les politiques internes. L'organisation contrôle toute la chaîne de sécurité.
La question que se posent les dirigeants : "Est-ce que ça va être aussi bon que ChatGPT?" La réponse honnête, en 2026, est : pour la majorité des usages en entreprise, oui.
Le modèle Llama 4 de Meta, disponible gratuitement, atteint des scores comparables à GPT-4 sur les benchmarks standards de raisonnement et de rédaction. Gemma 4 de Google tourne à 85 tokens par seconde sur du hardware grand public avec une fenêtre de contexte de 256 000 tokens — soit l'équivalent de plusieurs centaines de pages de documents analysés simultanément. (Source : Google DeepMind, 2026)
Pour les usages courants en PME — rédaction de courriels, analyse de documents, résumés de réunions, réponses aux questions RH, aide à la rédaction de politiques — les modèles locaux actuels sont entièrement adéquats. La différence avec les modèles cloud de pointe se fait sentir surtout sur les tâches de raisonnement multi-étapes très complexes, qui représentent une minorité des usages quotidiens.
Il existe aussi un continuum de solutions. Une PME n'est pas obligée de choisir entre "tout cloud" et "tout local". Certains fournisseurs comme Mistral AI (France) proposent des déploiements hybrides — traitement des données sensibles sur infrastructure locale, tâches génériques sur serveurs européens avec garanties contractuelles conformes au RGPD et adaptables à la loi 25.
Voici ce que ça prend réellement pour déployer un Private AI dans une organisation de 10 à 200 employés. Pas de la science-fiction — de la configuration.
Pour une PME de moins de 30 utilisateurs simultanés, un serveur avec une carte graphique NVIDIA RTX 4080 ou 4090 (environ 1 200 à 2 000 $ CAD) suffit pour faire tourner des modèles de 14 à 32 milliards de paramètres — la catégorie qui couvre 95 % des usages en entreprise. Pour une organisation plus grande, un serveur avec plusieurs GPU ou un GPU professionnel de la série A100 prend en charge des centaines d'utilisateurs simultanés.
Les logiciels de déploiement sont tous gratuits et open-source. Ollama gère le téléchargement et l'exécution des modèles. Open WebUI fournit l'interface que vos employés utilisent — elle ressemble à ChatGPT, personne n'a besoin de formation spéciale. Traefik gère la sécurité des accès depuis l'intérieur du réseau de l'organisation.
Le connecteur RAG mérite une mention particulière. Il permet de connecter le modèle IA directement à vos documents internes — politiques RH, contrats, procédures, wikis, historiques de projets. L'employé pose une question en français, le modèle répond en citant vos propres documents. Aucune donnée n'est envoyée à l'extérieur. C'est la valeur ajoutée principale par rapport à un simple chatbot générique.
La question du coût est légitime. Voici comment faire le calcul honnêtement.
Un abonnement ChatGPT Enterprise coûte environ 30 $ US par utilisateur par mois. Pour une organisation de 50 employés, c'est 1 500 $ US par mois, soit environ 25 000 $ CAD par année. Sur trois ans : 75 000 $. Sans compter les coûts d'API si l'organisation développe des automatisations.
Un serveur Private AI pour 50 utilisateurs représente un investissement initial d'environ 8 000 à 12 000 $ CAD en matériel, plus 1 000 à 2 000 $ de configuration initiale. Les coûts opérationnels annuels se limitent à l'électricité (quelques centaines de dollars) et à la maintenance logicielle (mises à jour des modèles, gratuites). Le point d'équilibre financier se situe autour de 12 à 18 mois.
Au-delà du calcul pur, deux éléments s'ajoutent. D'abord, la propriété intellectuelle : les conversations, les documents analysés, les processus optimisés restent dans l'organisation sans alimenter les données d'entraînement d'un fournisseur tiers. Ensuite, l'indépendance tarifaire : les prix des abonnements cloud ont augmenté en moyenne de 20 à 40 % depuis 2023. Avec une infrastructure interne, l'organisation est à l'abri de ces hausses.
Le déploiement d'un Private AI n'est pas réservé aux grandes entreprises avec une équipe TI de dix personnes. Une PME manufacturière de Dolbeau-Mistassini, une coopérative d'Alma, un cabinet comptable de Roberval — chacun peut déployer cette solution avec un technicien compétent et un budget raisonnable.
Ce qui manque aujourd'hui, ce n'est pas la technologie. C'est la connaissance que cette option existe. La majorité des dirigeants de PME n'ont pas eu cette conversation avec leur conseiller TI, leur banquier ou leur association sectorielle. Cette série d'articles a précisément pour objectif de combler cet angle mort.
La question que je vous pose directement : si vous pouviez offrir à vos employés un assistant IA aussi puissant que ChatGPT, sans qu'une seule donnée de votre organisation ne quitte vos murs, pour un coût équivalent à un ou deux ans d'abonnements cloud — qu'est-ce qui vous en empêche?