Module 3 — Comment intégrer l'IA en entreprise

Politique d'usage de l'IA —
encadrer sans bloquer

Une politique d'usage acceptable de l'IA (PUA-IA) ne sert pas à interdire — elle sert à clarifier ce qui est permis, à protéger l'organisation et ses clients, et à donner aux employés un cadre dans lequel ils peuvent utiliser l'IA en confiance. Ce module présente les six composantes obligatoires d'une politique d'usage de l'IA en PME, l'articulation avec ISO/IEC 38507:2022 (gouvernance IA) et avec la Loi 25, une démarche en cinq étapes pour produire votre politique, et des exemples concrets pour entrepreneurs électriciens.

Contenu informatif. Troisième des cinq modules de la formation Comment intégrer l'IA en entreprise.

Module 3 — Construire la politique d'usage de l'IA

Une politique de 2 à 5 pages bien construite suffit pour la majorité des PME. Le document n'est pas l'objectif — l'objectif est que les employés sachent quoi faire, et que l'organisation puisse démontrer sa diligence en cas d'incident ou d'enquête.

Prérequis : avoir parcouru les Modules 1 et 2 pour disposer du vocabulaire et avoir validé les deux préalables (structure et conformité Loi 25 minimale).

Pourquoi une politique d'usage de l'IA en PME

Constat 2026 : selon les références sectorielles (SHRM, Strac, Compliance Scorecard, Lattice), 60-80 % des employés de PME nord-américaines déclarent utiliser ChatGPT ou un outil équivalent dans leur travail, dont la majorité sans politique écrite de l'employeur. La pratique précède le cadre — la politique sert à reprendre le contrôle.

Trois risques concrets, observables dans toute PME, justifient l'investissement dans une politique :

  • Fuite de renseignements personnels. Un employé colle un courriel client (avec nom, adresse, numéro de téléphone) dans ChatGPT gratuit pour rédiger une réponse. Les données saisies peuvent servir à entraîner les modèles. Sans encadrement, l'organisation viole l'article 17 (transfert hors Québec sans évaluation) et l'article 18.3 (sous-traitance sans DPA) de la Loi 25.
  • Décision prise sans validation humaine. Un employé utilise un output IA brut comme base d'une communication client ou d'une décision interne (refus de crédit, choix de fournisseur, évaluation de personnel). L'organisation est responsable de la décision même si l'IA l'a suggérée — et des éventuelles hallucinations ou biais qui l'ont influencée.
  • Adoption d'outils non sanctionnés. Un employé installe un plugin IA dans le navigateur, branche un outil tiers sur la boîte courriel, télécharge un assistant local. Chaque outil non évalué multiplie les surfaces de risque sans qu'aucune EFVP n'ait été faite.

Une politique d'usage de l'IA ne supprime pas ces risques — elle les rend visibles, encadrés et traçables. C'est aussi la première pièce qu'une autorité (Commission d'accès à l'information du Québec, donneur d'ouvrage, assureur cyber) demandera en cas d'incident.

À retenir

Dans la majorité des PME, les employés utilisent déjà l'IA — sans cadre. La politique sert à reprendre le contrôle de pratiques qui existent et à transformer un usage spontané et risqué en usage encadré et défendable.

Six composantes obligatoires d'une politique d'usage de l'IA

Standard de référence : les six composantes ci-dessous sont la synthèse des modèles publiés par SHRM (Society for Human Resource Management), Strac (template 2026), Compliance Scorecard et Lattice. Une politique qui couvre ces six points est défendable devant un auditeur ou un assureur cyber.

Composante 1 — Liste explicite des outils approuvés et interdits.

La politique nomme les outils que l'organisation autorise (par exemple : Microsoft 365 Copilot avec engagement enterprise, ChatGPT Team licence entreprise, Claude for Business). Elle nomme aussi les outils interdits ou conditionnels (par exemple : ChatGPT version gratuite, Gemini personnel, plugins IA non validés). Pour adopter un nouvel outil, la politique doit prévoir une procédure de validation (qui décide, sur quels critères, en combien de temps).

Composante 2 — Classification des données en trois niveaux.

  • Données publiques — communiqués, contenus déjà publiés, informations marketing. Saisie libre dans tout outil approuvé.
  • Données internes — notes de réunion, plans projet, brouillons de soumission sans renseignements personnels. Saisie autorisée dans les outils approuvés avec engagement contractuel uniquement.
  • Données restreintes — renseignements personnels (clients, employés, sous-traitants), données financières internes, dossiers RH, propriété intellectuelle. Saisie interdite dans tout outil d'IA, sauf autorisation explicite après EFVP.

Composante 3 — Clauses d'usage interdit.

Selon la formulation du modèle Strac : « Les employés ne peuvent pas saisir de noms de clients, données financières, renseignements personnels identifiables, secrets commerciaux ou informations confidentielles dans aucun outil d'IA. » À cette interdiction de saisie s'ajoutent des interdictions d'usage : décisions d'embauche ou de congédiement basées sur l'IA, conseils légaux ou médicaux à un client, communications officielles non revues par un humain, génération de code pour contourner des contrôles de sécurité.

Composante 4 — Revue humaine obligatoire pour les communications client.

Tout output d'IA destiné à une communication client (courriel, réponse à une plainte, soumission, contrat) doit être revu par un humain avant émission. La politique précise qui (l'employé qui rédige, son superviseur, le RPRP pour les cas Loi 25) et selon quels critères (exactitude factuelle, ton approprié, absence de biais).

Composante 5 — Responsable de l'application de la politique.

Une personne nommément désignée — souvent le dirigeant en PME, ou le responsable PRP s'il y en a un. Cette personne approuve les nouveaux outils, traite les questions des employés, déclenche les EFVP, et révise la politique annuellement. Sans responsable, la politique reste un document mort.

Composante 6 — Traçabilité et procédure d'incident.

La politique précise comment les usages d'IA sont documentés (qui utilise quel outil, pour quoi, sur quelles données) et que faire en cas d'incident (output IA fautif communiqué à un client, soupçon de fuite de RP, dérive d'un système). La procédure d'incident est alignée sur le registre des incidents Loi 25 article 3.5.

À retenir

Une politique avec ces six composantes tient en 2 à 5 pages. Elle est suffisante pour la majorité des PME et défendable devant un auditeur. L'erreur la plus fréquente est de viser un document de 30 pages qui ne sera jamais lu — la simplicité est la condition de l'application.

Articulation avec ISO/IEC 38507 et la Loi 25

Position dans le cadre : la politique d'usage de l'IA est l'outil opérationnel issu d'ISO/IEC 38507:2022 (gouvernance de l'IA pour les organes de direction) et le moyen pratique de respecter la Loi 25 dans le contexte de l'IA. Elle traduit en consignes concrètes des cadres qui restent abstraits.

Articulation avec ISO/IEC 38507:2022.

ISO 38507 demande aux organes de direction de définir une posture de gouvernance face à l'IA — qui décide, selon quels principes, avec quelle traçabilité. La politique d'usage de l'IA est la traduction opérationnelle de cette posture. Elle rend exécutables des notions de haut niveau (responsabilité, transparence, supervision humaine) en règles que les employés peuvent appliquer au quotidien.

Articulation avec la Loi 25 (LPRPSP).

  • Article 3.3 — EFVP. La politique exige une EFVP préalable pour tout nouvel usage d'IA qui touche des renseignements personnels. C'est le déclencheur opérationnel de l'obligation légale.
  • Article 12.1 — Décisions automatisées. La politique impose que toute décision affectant significativement une personne soit prise par un humain, sur la base éventuelle d'une suggestion IA — pas par l'IA seule. C'est l'application de la posture human-in-the-loop d'ISO/IEC 22989.
  • Article 17 — Transferts hors Québec. La liste des outils approuvés intègre la vérification du cadre juridique du fournisseur. La politique interdit les outils sans engagement contractuel équivalent.
  • Article 18.3 — Sous-traitance. Pour chaque outil approuvé, un DPA est en place avant l'autorisation. La politique fait le lien entre l'usage employé et l'encadrement contractuel.

Une politique d'usage de l'IA bien faite n'est pas un document de plus — c'est l'instrument qui rend cohérents les obligations Loi 25 et l'usage quotidien de l'outil. Sans elle, ces obligations restent au niveau du dirigeant ou du juriste, et ne descendent pas au niveau des employés qui utilisent l'IA en pratique.

À retenir

La politique d'usage de l'IA est la pièce qui transforme les obligations légales abstraites (Loi 25, ISO 38507) en consignes opérationnelles pour les employés. Sans elle, le dirigeant peut être conforme « sur papier » sans que ses employés le soient en pratique.

Démarche en cinq étapes pour produire votre politique

Méthode pratique : une politique d'usage de l'IA fonctionnelle se produit en 5 demi-journées étalées sur 4 à 6 semaines. La séquence importe — sauter l'étape 1 (inventaire) crée une politique abstraite qui ne reflète pas les pratiques réelles.

Étape 1 — Inventaire des usages réels (1 demi-journée).

Avant d'écrire quoi que ce soit, faire un tour d'horizon des outils d'IA déjà utilisés dans l'organisation. Demander aux employés (sondage anonyme ou réunion ouverte) : quels outils ils utilisent, pour quelles tâches, sur quelles données. Le résultat est presque toujours surprenant — beaucoup d'usages non sanctionnés existent.

Étape 2 — Inventaire des données et de leur sensibilité (1 demi-journée).

Croiser l'étape 1 avec une cartographie des types de données traitées. Renseignements personnels de clients, données RH, données financières, propriété intellectuelle, données techniques sans enjeu. C'est cette cartographie qui alimente la composante 2 de la politique (classification en 3 niveaux).

Étape 3 — Choix des outils approuvés et négociation des DPA (1 demi-journée + suivi).

Sur la base des étapes 1 et 2, choisir un ou deux outils principaux que l'organisation va officiellement supporter (par exemple : Copilot M365 enterprise pour la bureautique, Claude for Business pour la rédaction longue). Demander et lire les DPA des fournisseurs. Vérifier qu'ils couvrent les RP et qu'ils sont compatibles avec la Loi 25 (transferts, sécurité, droits des personnes).

Étape 4 — Rédaction de la politique (1 demi-journée).

Écrire le document en suivant les six composantes du module précédent. Cibler 2 à 5 pages. Inclure des exemples concrets adaptés à l'organisation (par exemple, pour un entrepreneur électricien : « Vous pouvez utiliser Copilot pour rédiger une soumission ; vous ne pouvez pas y saisir le numéro d'assurance sociale d'un employé »). Faire valider par le dirigeant et idéalement par un juriste pour les passages sensibles.

Étape 5 — Communication, formation, mise à jour (1 demi-journée + récurrence annuelle).

Diffuser la politique avec un message du dirigeant qui en explique le sens. Organiser une courte session (30-60 minutes) pour répondre aux questions des employés. Mettre la politique sur l'intranet ou dans le manuel des employés. Prévoir une révision annuelle — l'écosystème IA évolue rapidement, la politique doit suivre.

À retenir

5 demi-journées sur 4 à 6 semaines suffisent à une PME pour produire une politique fonctionnelle. L'étape 1 (inventaire des usages réels) est la plus négligée — c'est aussi celle qui rend la politique applicable, parce qu'elle reflète ce qui se passe vraiment.

Exemple appliqué — entrepreneur électricien

Mise en situation : entreprise d'électricité de 12 employés, 150 chantiers par an, principalement résidentiel et commercial léger. La politique d'usage de l'IA présentée ci-dessous est volontairement courte (extraits) pour donner le ton attendu.

Extrait — Outils approuvés.

L'entreprise approuve l'usage de Microsoft 365 Copilot (licence enterprise sous le compte d'entreprise) pour la rédaction de documents internes, la production de soumissions et la correspondance. L'entreprise approuve l'usage de Claude for Business pour la rédaction longue (documents de plus de 5 pages, réponses à appels d'offres SEAO). Tout autre outil d'IA — incluant ChatGPT version gratuite, Gemini personnel, plugins IA dans le navigateur, assistants intégrés à des outils non sanctionnés — est interdit dans le cadre du travail.

Extrait — Données interdites.

Les renseignements personnels de clients (nom complet, adresse, numéro de téléphone, courriel, numéro de RBQ s'il s'agit d'un particulier, photos identifiables d'un domicile), les renseignements personnels d'employés (numéro d'assurance sociale, salaire, dossier disciplinaire), les données financières internes (chiffre d'affaires, marge sur soumissions, dossiers de paye) et la documentation contractuelle non publique (contrats signés, conditions tarifaires confidentielles) ne doivent jamais être saisis dans un outil d'IA, même approuvé, sauf après EFVP préalable approuvée par le dirigeant.

Extrait — Revue humaine.

Toute soumission, courriel client, réponse à appel d'offres ou contenu marketing produit avec l'aide d'un outil d'IA doit être revu et validé par son auteur avant émission. Pour les soumissions au-dessus de 25 000 $ et toute réponse à un appel d'offres public, une seconde validation par le chargé de soumissions est obligatoire. Toute communication officielle (avis aux employés, prise de position publique, réponse à une plainte client) doit être validée par le dirigeant.

Extrait — Procédure d'incident.

Si un employé constate qu'un output d'IA fautif a été communiqué à un client, ou qu'un renseignement personnel a été saisi dans un outil d'IA non approuvé, il doit informer le dirigeant dans la journée. Le dirigeant évalue si l'incident constitue une atteinte à la confidentialité au sens de l'article 3.5 de la Loi 25 et active, le cas échéant, la procédure de notification à la Commission d'accès à l'information et aux personnes concernées.

Ces extraits illustrent le ton — précis, opérationnel, sans jargon — qui rend la politique applicable. Une politique qui parle de « principes éthiques » ou de « bonne foi » sans préciser les règles concrètes ne change pas les comportements.

À retenir

Le ton attendu est celui d'un manuel d'employé — phrases courtes, exemples concrets, pas de principes abstraits. Une politique qu'un nouveau technicien lit en 15 minutes et comprend du premier coup vaut mieux qu'un document juridique qu'aucun employé ne lit.

Erreurs fréquentes et pièges à éviter

Constat de terrain : les politiques d'usage de l'IA qui échouent ne le font presque jamais à cause de leur contenu — elles échouent parce qu'elles sont trop longues, trop abstraites, ou jamais communiquées aux employés. La forme compte autant que le fond.
  • Politique trop longue. Au-delà de 5 pages, les employés ne la lisent plus. Au-delà de 10 pages, le dirigeant lui-même ne la connaît pas dans le détail. Préférer 3 pages claires à 30 pages exhaustives.
  • Politique abstraite. Mentionner « usage responsable » ou « principes éthiques » sans définir ce qui est concrètement permis ou interdit ne change rien. Préférer « vous pouvez X » et « vous ne pouvez pas Y ».
  • Liste d'outils figée. Si la liste des outils approuvés ne prévoit pas comment en ajouter de nouveaux, elle devient obsolète en six mois et est ignorée. Prévoir une procédure légère d'ajout.
  • Aucun responsable nommé. Sans personne désignée, personne ne traite les questions des employés, personne ne déclenche les EFVP, personne ne révise. La politique meurt.
  • Politique non communiquée. Document signé par le dirigeant et déposé sur l'intranet — mais aucun employé ne sait qu'il existe. Une session de 30-60 minutes avec questions-réponses fait toute la différence.
  • Politique non révisée. Les outils d'IA évoluent tous les six mois. Un document de 2025 sera dépassé en 2026 sans révision. Prévoir une revue annuelle minimale et un déclencheur ponctuel (nouvel outil pertinent, incident, changement légal).

L'erreur structurelle la plus coûteuse : voir la politique comme un document juridique de protection plutôt que comme un manuel pratique pour les employés. La protection juridique est un effet secondaire — le vrai but est que les employés sachent quoi faire au quotidien.

À retenir

Une bonne politique d'usage de l'IA est un manuel pratique, pas un document juridique. Elle est courte, concrète, communiquée, suivie d'une responsabilité nommée et révisée annuellement. Tout le reste est accessoire.

En résumé

Une politique d'usage acceptable de l'IA (PUA-IA) est le document de 2 à 5 pages qui rend exécutables, au niveau des employés, les obligations de gouvernance ISO/IEC 38507:2022 et de la Loi 25 (articles 3.3, 12.1, 17, 18.3). Elle comporte six composantes obligatoires : liste explicite des outils approuvés et interdits, classification des données en trois niveaux (publique, interne, restreinte), clauses d'usage interdit (saisie de RP, décisions sensibles), revue humaine obligatoire pour les communications client, responsable de l'application nommément désigné, traçabilité et procédure d'incident alignée sur l'article 3.5 LPRPSP. Elle se produit en cinq demi-journées étalées sur 4 à 6 semaines (inventaire des usages réels, cartographie des données, choix des outils et DPA, rédaction, communication et révision annuelle). Pour qu'elle fonctionne, elle doit être courte, concrète et communiquée — pas exhaustive, abstraite ou archivée. C'est la pièce qui transforme la conformité « sur papier » du dirigeant en conformité réelle au niveau des employés qui utilisent l'IA au quotidien.

Réponse rapide

Combien de pages? 2 à 5. Au-delà, plus personne ne la lit. Une politique courte mais respectée vaut mieux qu'un document juridique exhaustif jamais consulté.

Par où commencer? L'inventaire des usages réels d'IA dans l'organisation (sondage employés). C'est cette photo qui permet ensuite d'écrire une politique qui reflète la réalité plutôt qu'un idéal théorique.

Suite de la formation

Module 4 — Évaluation avant adoption : biais, dérives, EFVP IA. Identifier et documenter les risques d'un système d'IA avant de l'adopter — biais, hallucinations, traitements de RP — selon ISO/IEC 23894:2023, ISO/IEC 42005:2025 et l'article 3.3 de la Loi 25.

Module 4 — Évaluation avant adoption →

↩ Retour au plan de la formation

Construire votre politique d'usage de l'IA?

Pour les organisations qui veulent encadrer l'usage de l'IA sans bloquer l'innovation, un accompagnement structuré aide à inventorier les pratiques actuelles, sélectionner les outils, négocier les DPA et rédiger une politique courte, concrète et défendable. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →