Formation Numérique · Module 5 · Guide pratique
Encadrer ChatGPT, Copilot, IA générative

ChatGPT, Copilot, IA — comment encadrer leur usage sous la Loi 25?

Vos employés utilisent déjà ChatGPT et Copilot — souvent en y collant des renseignements personnels de clients. L'article 12.1 ajoute des obligations sur les décisions automatisées. Voici comment encadrer sans interdire.

Analyser mon infrastructure numérique Planifier l'accompagnement →

L'IA est arrivée massivement dans les PME en 2023-2025. La majorité des employés utilisent ChatGPT (78 % du marché en 2026), Copilot ou Gemini sans encadrement formel — souvent en y collant des renseignements personnels. C'est l'angle mort le plus rapide à corriger pour rester conforme à la Loi 25.

Applicable à tout outil IA. Les principes (politique d'usage, versions Enterprise, EFVP) s'appliquent à ChatGPT, Claude, Copilot, Gemini, Mistral et tout autre outil IA qui traite des renseignements personnels.

Définition

L'IA générative produit du contenu (texte, images, code) en réponse à un prompt. L'IA prédictive rend des décisions ou produit des scores. Une décision exclusivement automatisée (article 12.1) est une décision rendue sans intervention humaine — déclenche obligations spécifiques. Le shadow AI est l'usage d'outils IA sans encadrement de l'organisation.

IA prédictive vs. IA générative — distinctions clés

  • IA prédictive — scoring crédit, détection de fraude, recommandation, segmentation marketing. Décisions structurées, traçabilité plus simple. Article 12.1 directement applicable si la décision est exclusivement automatisée.
  • IA générative — ChatGPT, Claude, Gemini, Copilot. Produit du contenu. Rarement « décision exclusivement automatisée », mais peut alimenter une décision humaine. Risques principaux : fuite de RP via prompts, inférence de RP à partir de données agrégées.

Les quatre risques majeurs pour une PME

1. Shadow AI — les comptes gratuits

Employés utilisant ChatGPT gratuit pour résumer des courriels clients, retranscrire des réunions, traduire des documents RH, générer des contrats. Les renseignements personnels sortent de l'organisation sans aucun contrôle et peuvent être réutilisés pour entraîner les modèles publics.

2. Microsoft Copilot intégré M365

Par design, Copilot accède à tout ce que l'utilisateur peut voir : OneDrive, SharePoint, Teams, Exchange. Si les permissions internes sont laxistes (cas fréquent), Copilot peut surfacer des documents RH, courriels du PDG, etc. à des employés ne devant pas y avoir accès. Boîte noire : Microsoft ne peut pas expliquer pourquoi Copilot a généré une réponse — incompatible avec l'obligation d'explicabilité de l'article 12.1 si décision automatisée.

3. Versions Enterprise / Team — un progrès partiel

ChatGPT Team/Enterprise, Claude Team, Copilot Pro — les fournisseurs s'engagent à ne pas entraîner leurs modèles sur les données. Progrès important, mais le transfert hors Québec subsiste (article 17). EFVP toujours requise.

4. Plug-ins et connecteurs

Un plug-in tiers (intégration Slack, Zapier, navigateur) peut ré-exfiltrer les données vers des destinations non auditées. Chaque connecteur est un transfert supplémentaire à évaluer.

Mesures techniques et organisationnelles recommandées

  • Politique IA explicite — quels outils autorisés, ce qu'on ne fait jamais, comment demander un nouvel outil
  • Comptes Enterprise/Team — jamais de comptes gratuits pour le travail avec des RP
  • DLP (Data Loss Prevention) sur les flux sortants — détecter et bloquer les transferts non autorisés
  • Formation employés — ne jamais coller de RP brut dans un prompt, savoir reconnaître les situations à risque
  • EFVP (art. 3.3) avant tout déploiement de Copilot, ChatGPT Enterprise, Claude Team
  • Pour décisions automatisées — interface de notification, mécanisme de présentation d'observations, processus de révision humaine documenté
  • Conservation min. 1 an des RP utilisés pour décisions automatisées (art. 12.1 al. 2)

Ce que ça veut dire concrètement

  • Sans politique IA, vos employés font ce qu'ils veulent — y compris coller des données clients dans ChatGPT gratuit.
  • Sans EFVP avant Copilot, vous violez l'article 3.3 dès l'activation.
  • Sans interface de révision humaine, vos décisions automatisées violent l'article 12.1.

Ce que ça signifie concrètement pour un dirigeant

  • 78 % des outils IA en usage = ChatGPT (en 2026) — vos employés l'utilisent presque certainement déjà.
  • Coller le nom et le courriel d'un client dans ChatGPT gratuit = transfert hors Québec d'un RP, sans EFVP, sans entente.
  • Microsoft ne peut pas expliquer Copilot — donc impossible de respecter l'article 12.1 si Copilot prend ou suggère des décisions sur des personnes.

Le shadow AI n'est pas l'usage de l'IA — c'est l'usage sans cadre.

🎯 Diagnostic rapide

  • Avez-vous une politique d'usage de l'IA, signée par chaque employé?
  • Pour les outils IA en usage (ChatGPT, Copilot, Claude), avez-vous une version Enterprise/Team avec engagement de non-réutilisation?
  • Si vous utilisez Copilot dans M365, avez-vous fait l'EFVP et révisé les permissions internes (SharePoint, OneDrive)?

Si non à une seule, votre usage IA est probablement non encadré.

Quatre erreurs fréquentes

  • « On interdit l'IA, c'est plus simple. » Faux. Interdire ne fonctionne pas — les employés trouvent des moyens. Encadrer permet de garder le contrôle.
  • « ChatGPT, c'est juste un outil. » Faux. C'est un transfert hors Québec dès qu'on y entre des RP. Article 17 s'applique.
  • « Copilot dans M365 est sécurisé par défaut. » Faux. Il accède à tout ce que l'utilisateur voit — si vos permissions sont laxistes, Copilot expose tout à tous.
  • « On verra ça quand l'IA sera vraiment utilisée. » Trop tard. Elle est utilisée maintenant, sans encadrement. La fenêtre est restreinte.

Le shadow AI n'est pas l'usage de l'IA — c'est l'usage sans cadre.

Sans encadrement / Avec encadrement

✗ Sans encadrement

  • Comptes ChatGPT gratuits
  • RP collés dans les prompts
  • Aucune EFVP avant Copilot
  • Permissions M365 non révisées
  • Aucune politique IA

✓ Avec encadrement

  • Versions Enterprise/Team déployées
  • Politique IA signée + formation
  • EFVP datée pour chaque outil
  • Permissions M365 audits
  • Révision humaine pour décisions automatisées

Ce que la Loi 25 implique concrètement

  • Article 12.1 — décisions exclusivement automatisées : information + droit à l'intervention humaine + conservation min. 1 an des RP utilisés
  • Article 12 — utilisation aux fins déclarées seulement (assistant IA accédant à tout = potentiellement violation)
  • Article 3.3 — EFVP avant déploiement d'un système IA traitant des RP
  • Article 17 — ChatGPT/Copilot = transfert hors Québec
  • Article 8.1 — profilage par IA = info préalable obligatoire
  • Principes communs CAI/OPC sur l'IA générative (déc. 2023) — explicabilité, transparence, mesures de protection

Concrètement pour une PME :

  • Chaque employé sans politique IA est un risque de fuite quotidien
  • Chaque outil IA gratuit = transfert non encadré
  • Chaque décision automatisée sans révision humaine = non-conformité art. 12.1

Le coût vient du shadow AI — pas de l'usage de l'IA.

En résumé

  • Politique IA signée par chaque employé
  • Versions Enterprise/Team — jamais comptes gratuits avec RP
  • EFVP avant Copilot, ChatGPT Enterprise, etc.
  • Pour décisions automatisées : info, révision humaine, conservation min. 1 an

Ce module prolonge le module Outils tiers de la Formation Site web et le module EFVP de la Formation Gouvernance. Il ajoute la dimension IA : article 12.1, distinction shadow AI vs IA encadrée, politique d'usage interne.

Pour aller plus loin

Voir les exigences légales →

Test rapide — votre IA est-elle encadrée?

Analyser mon infrastructure numérique →

Encadrer votre usage IA

Analyser mon infrastructure numérique Planifier l'accompagnement

← Retour au plan de la formation Numérique