Intégration de l'IA · Module 5 · Guide pratique
L'entente qui protège vos données

Encadrer les fournisseurs d'IA

Dès qu'un outil d'IA externe traite vos données, le fournisseur devient un sous-traitant à encadrer par une entente écrite. Ce module montre ce qu'elle doit garantir, comment la vérifier en cinq points et comment l'obtenir — illustré sur un entrepreneur électricien.

Sa page jumelle, côté légal

L'entente de sous-traitance (art. 18.3) et l'évaluation du transfert (art. 17) : les obligations Loi 25 derrière le DPA.

Exigences légales — Encadrer les fournisseurs →

« J'accepte » n'est pas une entente

Confier des renseignements personnels à un outil d'IA, c'est les remettre à un tiers qui les traite pour vous. Cocher les conditions d'utilisation en ligne ne vous donne aucune garantie opposable : ni sur l'usage qu'il en fait, ni sur leur conservation, ni sur leur suppression. L'entente de sous-traitance (souvent appelée DPA) est ce qui transforme un « j'accepte » en engagement vérifiable.

Définition

Un sous-traitant est un tiers qui traite vos renseignements personnels pour votre compte. Le DPA (entente de traitement des données) est le contrat écrit qui encadre ce traitement : finalités, sécurité, durée, usage limité, sort des données à la fin. Beaucoup de fournisseurs l'offrent en addendum, à signer en plus des conditions d'utilisation.

Ce qu'une bonne entente doit garantir

  • Usage limité à la prestation — le fournisseur ne fait avec vos données que ce pour quoi vous le payez, et rien d'autre (notamment, pas d'entraînement de ses modèles).
  • Sécurité — des mesures techniques et organisationnelles raisonnables, idéalement appuyées par des certifications (ISO 27001/27701).
  • Localisation — où les données sont traitées (et donc à quelles lois elles sont soumises).
  • Assistance — le fournisseur vous aide à répondre aux demandes des personnes (accès, rectification) et vous notifie en cas d'incident.
  • Sort des données à la fin — restitution ou destruction à l'expiration du contrat, sans conservation.

Une checklist de vérification en cinq points

Quand vous recevez un DPA (ou les CGU « entreprise »), vérifiez ces cinq points — les questions concrètes à se poser :

  1. Entraînement : le contrat dit-il explicitement que vos données ne serviront pas à entraîner les modèles?
  2. Localisation : où les données sont-elles traitées? (si hors Québec → évaluation du transfert, voir exigences)
  3. Sous-traitance : le fournisseur peut-il sous-traiter à d'autres? sous quelles conditions?
  4. Incidents : s'engage-t-il à vous aviser, et dans quel délai?
  5. Sortie : que deviennent vos données si vous partez — récupération, suppression, format, délai?

Un fournisseur sérieux répond clairement à ces cinq points. Un fournisseur qui reste vague sur la sortie vous annonce déjà comment se passera la fin de la relation.

La démo : l'électricien vérifie ses fournisseurs

Avant d'utiliser Copilot sur des brouillons de soumission, l'électricien :

  • récupère l'addendum de traitement des données de Microsoft (pas seulement les CGU grand public);
  • vérifie la clause de non-entraînement de l'offre entreprise;
  • note la localisation du traitement et, si elle est hors Québec, prépare l'évaluation du transfert;
  • archive le tout dans un registre des fournisseurs d'une ligne par outil.

Pour l'assistant interne sur dossiers clients (RAG local du module 3), il n'y a pas de fournisseur externe : pas de communication, donc pas de DPA à signer — un avantage direct du local.

La démo : ce que l'électricien conserve

Son registre tient sur une page : pour chaque outil d'IA, le nom du fournisseur, le type de données qu'il reçoit, la présence (ou non) d'une entente conforme, la localisation, et la date de la dernière vérification. C'est cette page qu'il sortira si un client, un assureur ou la Commission d'accès à l'information demande « qui traite vos données ».

Ce que ça change pour la direction

Sans entente, vous ne pouvez ni limiter l'usage de vos données, ni exiger leur suppression, ni prouver votre diligence. Avec une entente vérifiée et un registre d'une page, chaque fournisseur devient un sous-traitant encadré — pas une fuite contractuelle.

Cinq questions à poser au fournisseur avant de signer

Même sans lire tout le contrat, ces cinq questions, posées par courriel, révèlent vite le sérieux d'un fournisseur :

  • « Utilisez-vous nos données pour entraîner vos modèles? » (la bonne réponse pour une offre entreprise est « non »)
  • « Dans quel pays nos données sont-elles traitées et stockées? »
  • « Offrez-vous un addendum de traitement des données (DPA) signable, et conforme à la Loi 25 du Québec? »
  • « Comment et dans quel délai nous avisez-vous en cas d'incident? »
  • « Si nous résilions, que deviennent nos données — restitution, suppression, format, délai? »

Un fournisseur qui répond clairement aux cinq inspire confiance. Un fournisseur qui esquive, renvoie à des CGU génériques ou « reviendra vers vous » vous montre déjà comment il traitera vos demandes une fois sous contrat.

Obtenir et lire un DPA, pas à pas

Concrètement, pour un fournisseur d'IA grand public qui propose une offre entreprise :

  1. Trouver le document — il s'appelle souvent « Data Processing Addendum » (DPA) ou « Addendum de traitement des données », accessible sur le portail légal du fournisseur ou via le compte entreprise/administrateur.
  2. Vérifier qu'il s'applique à votre offre — certains DPA ne couvrent que les versions payantes « entreprise ». Sur une version gratuite, il n'y a souvent aucune entente : c'est un signal d'arrêt pour les renseignements personnels.
  3. Passer la checklist des cinq points — entraînement, localisation, sous-traitance, incidents, sortie.
  4. Faire signer / accepter au bon niveau — par la personne qui a l'autorité (le dirigeant en PME, ou le responsable PRP).
  5. Archiver — conserver le document daté avec la fiche du fournisseur. C'est lui qui prouve l'encadrement.

Pas besoin d'être juriste pour ce premier tri : la checklist en cinq points suffit à repérer un fournisseur sérieux d'un fournisseur vague. Pour un contrat à fort enjeu, un avis juridique reste utile — mais le tri de base se fait à l'interne.

Le registre des fournisseurs — un modèle d'une page

Le registre n'a pas besoin d'être lourd. Une ligne par outil d'IA, avec ces colonnes :

OutilDonnées reçuesEntente?LieuVérifié le
Copilot (entreprise)brouillons internesDPA signéà vérifier2026-06
IA locale (Ollama)dossiers clientsN/A (interne)Québec2026-06

Cette page se met à jour en deux minutes quand on adopte un nouvel outil, et répond d'un coup d'œil à « qui traite nos données et sous quelle entente? ».

Si le fournisseur n'offre pas d'entente conforme

Ça arrive — surtout avec des outils gratuits ou très récents. Trois options, dans l'ordre :

  • Ne pas y mettre de renseignements personnels — réserver l'outil aux données publiques.
  • Choisir un concurrent qui offre une vraie entente entreprise.
  • Passer en local pour l'usage concerné, là où aucune entente n'est nécessaire puisque rien ne sort.

Ce qu'on ne fait pas : utiliser quand même l'outil « parce qu'il est pratique » avec de vraies données clients. C'est exactement le scénario qui crée une communication non encadrée.

Trois erreurs fréquentes

  • Se fier aux seules conditions d'utilisation cochées. Elles ne valent pas l'entente que la loi attend; il faut souvent un addendum dédié.
  • Oublier la clause de non-réutilisation. Sans elle, vos données peuvent nourrir les modèles du fournisseur.
  • Ne pas tenir de registre. Le jour d'une demande, on ne sait plus qui traite quoi ni sous quelle entente.

Une entente absente ne se voit pas — jusqu'au jour où il faut prouver que les données étaient encadrées.

🎯 Test rapide

  • Avez-vous une entente écrite avec chaque fournisseur d'IA traitant vos données?
  • Cette entente interdit-elle la réutilisation (entraînement) de vos données?
  • Tenez-vous un registre de qui traite quoi, et sous quelle entente?

Si vous hésitez sur une seule, des données sont peut-être chez un tiers sans cadre opposable.

Analyse d'intégration IA →

En résumé

Un fournisseur d'IA qui traite vos données est un sous-traitant : il faut une entente écrite (DPA) qui limite l'usage, interdit l'entraînement, et prévoit la suppression — pas un simple « j'accepte ».

👉 Action : récupérez l'addendum de chaque fournisseur, vérifiez-le en cinq points, et tenez un registre d'une page.

Étape suivante

Les outils sont encadrés : il reste à fixer les règles d'usage pour toute l'équipe.

Module 6 — Politique d'usage →

Intégrer l'IA dans votre organisation?

La formation Intégration de l'IA déroule les neuf étapes — du besoin à l'entretien — sur vos cas réels, en gardant la conformité Loi 25 au cœur.

Planifier un accompagnement Analyse d'intégration IA

← Retour à la feuille de route