Module 5 · Guide pratique · Maintenance numérique et amélioration continue
Cartographie d'infrastructure — pas un cours sur l'IA

Cartographier votre infrastructure
Pour préparer le terrain de l'IA

Ce module n'apprend pas à utiliser l'intelligence artificielle. Il apprend à préparer une cartographie d'infrastructure qui permettra, le moment venu, d'évaluer sereinement où l'IA pourrait s'intégrer et — tout aussi important — où elle ne doit pas. La cartographie est l'outil. L'apprentissage de l'IA elle-même est réservé au futur bloc IA dédié.

Planifier la formation ← Retour à la formation →

L'erreur fréquente en PME face à l'intelligence artificielle est d'aller magasiner un outil avant d'avoir cartographié son terrain. Le résultat habituel est un investissement mal ciblé, des données qui circulent sans contrôle, et une démarche qui s'arrête au premier écueil. La bonne séquence est l'inverse : cartographier d'abord, choisir ensuite (et seulement quand le futur bloc IA arrivera).

Méthode de cartographie d'infrastructure pour une PME

La cartographie reprend en grande partie les inventaires déjà commencés dans le bloc — elle les organise en vue d'une analyse future. Quatre axes principaux :

  • Actifs informationnels existants — les catégories de données traitées par l'organisation (renseignements personnels clients, renseignements personnels employés, données opérationnelles, contenus métiers). Cette base est déjà documentée dans le registre Loi 25 et les cartographies individuelles employés (Formation 1).
  • Flux de travail récurrents — les tâches qui se répètent quotidiennement, hebdomadairement, mensuellement. Tri de courriels, devis, fiches clients, rapports internes, suivis de chantier (selon le secteur). L'inventaire ne demande pas plus de deux heures pour une PME de taille moyenne.
  • Qualité des données — pour chaque catégorie, est-ce que les données sont structurées, à jour, fiables? Une IA travaille à partir des données qu'on lui donne. Données médiocres en entrée, résultats médiocres en sortie.
  • Accès actuels — qui accède à quoi, depuis où, avec quelle authentification. Inventaire issu de la Formation 3 (cybersécurité d'entreprise).

Le livrable est une cartographie d'une à trois pages au format Lettre — pas un schéma d'architecture détaillé. L'objectif est de pouvoir, plus tard, regarder chaque zone et poser la question : est-ce que l'IA est pertinente ici? À quel risque? Pour quel gain?

Identifier les zones où l'IA pourrait s'intégrer

Les zones favorables à une éventuelle intégration d'IA partagent quelques caractéristiques :

  • Tâches répétitives à fort volume — tri et classement de courriels, génération de premières versions de devis, FAQ internes, résumés de réunions, notes de service.
  • Données préparées — les zones où l'inventaire montre des données structurées, à jour, fiables. L'IA ne corrige pas des données mauvaises, elle amplifie leur qualité dans un sens ou dans l'autre.
  • Sensibilité gérable — données non sensibles ou sensibilité encadrée par la cybersécurité existante (chiffrement, accès cloisonnés).
  • Gain mesurable — on peut estimer le temps économisé ou l'amélioration apportée. Si on n'arrive pas à mesurer, on ne sait pas si l'investissement vaut la peine.

Identifier les zones où l'IA ne doit pas s'intégrer

Tout aussi important que de repérer les zones favorables : repérer les zones où l'IA est inappropriée, par construction. Le test fondamental est la Loi 25 article 12.1.

L'article 12.1 encadre les décisions exclusivement automatisées prises sur une personne. Trois exigences :

  • Information — la personne doit savoir qu'une décision la concernant a été prise par un système automatisé.
  • Droit à l'explication — la personne doit pouvoir obtenir une explication des renseignements personnels utilisés et des principaux facteurs ayant mené à la décision.
  • Droit à la révision humaine — la personne doit pouvoir demander à présenter ses observations à un être humain et obtenir une révision de la décision.

Concrètement, en PME, les zones à éviter par défaut sont :

  • Décisions sur les personnes — embauche, congédiement, sélection de fournisseurs sur critères qualitatifs, octroi de crédit, refus de service. Si l'IA intervient, elle doit toujours être un support, jamais un décideur unique.
  • Données sensibles non protégées — toute zone où le chiffrement, l'authentification ou la journalisation ne sont pas au niveau. L'IA n'est pas un correctif de cybersécurité.
  • Contextes réglementés — santé, services professionnels, finance. Les règles sectorielles s'appliquent en plus de la Loi 25.
  • Communications externes engageantes — courriels qui engagent juridiquement l'organisation, communications avec autorités. L'IA peut préparer, un humain valide et envoie.

Mention brève des grandes options techniques

Sans entrer dans le détail comparatif — c'est le rôle du futur bloc IA dédié — deux grandes familles d'options se distinguent :

  • IA dans le nuage (ChatGPT, Claude, Gemini, Mistral et autres) — performance maximale, intégration simple, données envoyées au fournisseur. Acceptable pour les tâches génériques sans renseignements personnels.
  • IA locale (modèles ouverts exécutés sur un serveur de l'organisation) — souveraineté complète, aucune donnée ne sort. Investissement matériel plus marqué, gestion plus exigeante. Pertinent pour les organisations qui traitent des renseignements personnels en volume.

Le choix entre les deux dépend de la cartographie : zones où l'IA pourrait s'intégrer croisées avec sensibilité des données. Beaucoup de PME adopteront en pratique une approche hybride. Mais ce choix se fait après la cartographie, jamais avant — et c'est le sujet du futur bloc IA dédié.

Articulation avec la veille réglementaire

La cartographie d'infrastructure prépare le terrain pour la future législation fédérale sur l'intelligence artificielle annoncée par le ministre Evan Solomon en 2026. Le contenu précis n'est pas encore connu, mais les principes probables — transparence, gestion des risques, supervision humaine, documentation des systèmes — se préparent dès maintenant en sachant quels actifs informationnels, quels flux et quelles données sont concernés.

Au Québec, la Loi 25 article 12.1 s'applique déjà. La cartographie d'infrastructure identifie justement les zones de décision sur les personnes où l'article 12.1 devient opérationnel le jour où l'IA y est introduite.

Pièges à éviter

  • Vouloir cartographier en mode « architecture détaillée ». Une PME a besoin d'une carte de quelques pages, pas d'un schéma de 50 pages.
  • Confondre cartographie et plan d'adoption. La cartographie identifie le terrain. Le plan d'adoption viendra après, en s'appuyant dessus.
  • Sauter l'identification des zones interdites. Les zones où l'IA ne doit pas s'intégrer sont aussi importantes que les zones favorables — souvent plus, parce qu'elles évitent les écueils Loi 25.
  • Croire que l'IA résoudra un problème de données mauvaises. C'est l'inverse : l'IA amplifie la qualité des données. La cartographie doit pointer la qualité, pas la masquer.

En résumé

Cartographier l'infrastructure de la PME — actifs informationnels, flux de travail, qualité des données, accès — produit une carte qui distingue les zones où l'intelligence artificielle pourrait s'intégrer (tâches répétitives, données préparées, sensibilité gérable, gain mesurable) et les zones où elle ne doit pas (décisions sur les personnes au sens de la Loi 25 article 12.1, données sensibles non protégées, contextes réglementés). La cartographie est l'outil. L'apprentissage de l'IA elle-même — ingénierie des consignes, agents, gouvernance d'IA, gestion du shadow IA — est réservé au futur bloc IA dédié. Le module 6 fait le pont vers ce bloc.

Passer à la suite de la formation

Le module 5 a installé la cartographie d'infrastructure. Le module 6 fait le pont vers le prochain bloc IA dédié — ce qui sera couvert, ce qui ne l'est pas ici, comment continuer à se préparer en attendant.

← Retour à la formation Planifier la formation