Intégration de l'IA · Module 6 · Exigences légales · Articles 4, 5, 8, 12, 12.1
Politique d'usage de l'IA :
les exigences de la Loi 25
La politique d'usage de l'IA n'est pas un document décoratif : c'est la pièce qui rend applicables, au quotidien, les obligations de la Loi 25 — finalités, minimisation, information, usage, décisions automatisées. Sans elle, chaque employé improvise.
Contenu informatif. Ne constitue pas un avis juridique.
Ce que vous devez retenir — version dirigeant
- La politique traduit les obligations Loi 25 en règles concrètes pour l'équipe.
- Elle dit quels outils et quelles données sont permis — et lesquels sont interdits.
- Elle encadre la supervision humaine et les décisions automatisées (art. 12.1).
- C'est une décision de gouvernance (ISO/IEC 38507), portée par la direction.
Le contexte légal
La Loi 25 n'exige pas un document portant le titre « politique d'usage de l'IA ». Mais elle exige que chaque usage respecte la finalité (art. 4), la minimisation (art. 5), l'information des personnes (art. 8), la limitation d'usage (art. 12) et l'encadrement des décisions automatisées (art. 12.1). La politique est l'outil qui rend ces principes applicables et démontrables par toute l'équipe, pas seulement par le responsable.
Ce que ça implique pour votre organisation
- Sans politique, chaque employé décide seul de ce qu'il soumet à une IA.
- Les obligations existent, mais ne sont pas appliquées de façon uniforme.
- En cas de plainte, rien ne démontre que des règles avaient été posées.
Ce que ça signifie concrètement pour vous
Sans politique d'usage connue de l'équipe :
- un employé bien intentionné colle un dossier client dans une IA grand public;
- personne n'a défini ce qui est permis, donc tout l'est en pratique;
- comme dirigeant, vous répondez d'usages que vous n'avez jamais encadrés.
Le cadre existe dans la loi. Ce qui manque, c'est sa traduction en règles que l'équipe connaît.
Définition : politique d'usage de l'IA
La politique d'usage de l'IA est un document interne qui définit, pour les employés, les outils autorisés, les données qu'on peut ou non leur soumettre, la supervision requise et la conduite à tenir. Elle opérationnalise les obligations de la Loi 25 — là où la politique de confidentialité, elle, informe les personnes concernées.
Cadre juridique applicable
Les obligations découlent de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) modifiée par la Loi 25. La politique d'usage est le moyen de les rendre concrètes.
Articles 4, 5 et 12 — finalités, minimisation, usage
La politique rappelle que chaque usage d'IA doit servir une finalité déterminée (art. 4), n'utiliser que les données nécessaires (art. 5) et ne pas détourner les renseignements de leur fin (art. 12). Elle traduit ces principes en interdictions claires (« ne jamais coller de renseignements sensibles dans tel outil »).
Article 8 — information des personnes
Quand l'usage de l'IA modifie la façon dont les données sont traitées, la politique prévoit la mise à jour de l'information donnée aux personnes (avis, politique de confidentialité).
Article 12.1 — décisions automatisées
La politique identifie les usages susceptibles de produire une décision sans humain et impose les garde-fous : supervision, information de la personne, possibilité de révision.
Norme de gouvernance — ISO/IEC 38507
ISO/IEC 38507 traite des implications de l'usage de l'IA pour la gouvernance d'une organisation par sa direction. Elle situe la politique d'usage au bon niveau : une décision de gouvernance portée par la direction, alignée sur ISO/IEC 42001, et non une simple consigne technique.
Ce que la politique doit couvrir
- Les outils autorisés et interdits, et la marche à suivre pour en faire approuver un nouveau.
- Les types de données qu'on peut ou non soumettre à l'IA (jamais de sensibles non encadrés).
- Les règles d'hébergement (local pour le sensible) et l'exigence d'entente fournisseur.
- La supervision humaine et le traitement des décisions automatisées (art. 12.1).
- Le rôle du responsable de la protection des renseignements personnels et la conduite en cas d'incident.
Exemples concrets pour une PME
Données permises (art. 5) → La politique autorise l'IA pour reformuler un texte public, mais interdit d'y coller des dossiers clients ou des renseignements de santé.
Supervision (art. 12.1) → Tout résultat d'IA servant à une décision sur une personne doit être validé par un humain identifié.
Gouvernance (ISO 38507) → La direction approuve la politique, désigne le responsable et révise la liste des outils chaque trimestre.
Erreur stratégique fréquente
Beaucoup d'organisations rédigent une politique d'usage générique, la classent, et ne la communiquent jamais à l'équipe.
Résultat : un document qui rassure sur papier pendant que les usages réels continuent sans cadre — une conformité visible, un risque réel intact.
Une politique que l'équipe ne connaît pas ne protège personne — sauf l'illusion de conformité.
Obligation légale ou bonne pratique?
Obligation légale (que la politique sert)
- Respect des finalités et minimisation (art. 4, 5)
- Information des personnes (art. 8)
- Limitation d'usage (art. 12)
- Encadrement des décisions automatisées (art. 12.1)
Bonne pratique (recommandée)
- Politique courte, connue de tous
- Liste d'outils tenue à jour
- Approbation par la direction (ISO 38507)
- Révision périodique
La diligence attendue : pouvoir montrer une politique appliquée, connue, et révisée — pas seulement rédigée.
Risques en cas de non-conformité
Sanctions juridiques
Des usages d'IA non encadrés menant à une collecte excessive, un transfert non évalué ou une décision automatisée sans information exposent aux sanctions administratives (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial) et pénales (jusqu'à 25 M$ ou 4 %), ainsi qu'aux ordonnances de la CAI.
Coûts opérationnels
Sans politique : usages hétérogènes difficiles à auditer, données dispersées chez des fournisseurs non encadrés, et temps perdu à reconstruire après coup qui a fait quoi avec quel outil.
Une démarche structurée réduit ces coûts — elle ne les crée pas.
Concrètement pour une PME
Sans politique d'usage connue, c'est :
- des pratiques d'IA différentes d'un employé à l'autre;
- des données sensibles soumises à des outils non approuvés;
- aucune preuve d'encadrement le jour d'une plainte.
Le coût vient de l'absence de règles connues — pas de la politique à écrire.
Articulation avec la gouvernance de l'IA
La politique d'usage rassemble les décisions des modules précédents — besoins, hébergement, évaluation, ententes — en règles applicables. Elle se relie à la politique de confidentialité (côté personnes) et prépare le déploiement (module 7) et la surveillance (module 9).
Questions fréquentes
Une politique d'usage de l'IA est-elle obligatoire?
La loi n'impose pas le document, mais bien les obligations qu'il sert (art. 4, 5, 8, 12, 12.1). La politique est l'outil qui les rend applicables et démontrables.
Quelle différence avec la politique de confidentialité?
La confidentialité informe les personnes; la politique d'usage est interne et dit aux employés ce qu'ils peuvent faire avec l'IA.
Que doit couvrir la politique?
Outils permis/interdits, données admissibles, hébergement, supervision, décisions automatisées, rôle du responsable, conduite en cas d'incident.
Qu'apporte ISO/IEC 38507?
Elle positionne la politique comme une décision de gouvernance portée par la direction, pas une consigne technique isolée.
Une PME a-t-elle besoin d'une politique écrite?
Oui, même une à deux pages — pour que les bons réflexes deviennent une pratique connue et démontrable.
🎯 Diagnostic rapide
- Avez-vous une politique d'usage de l'IA écrite et connue de l'équipe?
- Dit-elle clairement quelles données ne jamais soumettre à une IA?
- Encadre-t-elle la supervision des décisions touchant des personnes?
Si « non » à une seule, vos usages d'IA reposent probablement sur l'initiative de chacun, pas sur un cadre.
À faire avant d'intégrer l'IA : il est préférable d'être conforme à la Loi 25 avant de l'intégrer — pas une fois les outils déjà en place. Le diagnostic stratégique permet justement de valider cette conformité avant de vous lancer.
Diagnostic stratégique Loi 25 →Concrètement
- Les obligations d'usage existent, que vous ayez une politique ou non.
- Mais sans règles écrites et connues, elles ne sont ni appliquées uniformément ni démontrables.
- Ce qui laisse chaque employé arbitrer seul ce que l'IA a le droit de voir.
La formation Intégrer l'IA de façon souveraine aide à bâtir une politique d'usage courte et applicable, qui traduit la Loi 25 en réflexes pour toute l'équipe.
En résumé — politique d'usage de l'IA selon la Loi 25
- La politique traduit les obligations (art. 4, 5, 8, 12, 12.1) en règles concrètes.
- Elle définit outils permis, données admissibles, supervision et hébergement.
- C'est une décision de gouvernance portée par la direction (ISO/IEC 38507).
- Une politique connue et révisée — pas seulement rédigée — protège vraiment.
📘 Version pratique du même sujet
Comment construire concrètement votre politique d'usage de l'IA, section par section : voir le guide.
Guide pratique — Politique d'usage →Encadrer l'IA dans votre organisation par une vraie politique
La formation Intégrer l'IA de façon souveraine aide à bâtir une politique d'usage applicable, qui traduit la Loi 25 en règles claires pour toute l'équipe.
← Retour au plan de la formation
Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.