Guide pratique appliqué · IA générale vs spécialisée · Loi 25 article 12.1 · Famille ISO 42001

Stack IA par poste de travail pour PME québécoises —
guide pratique appliqué au quotidien réel

Une IA généraliste cloud pour tout ne survit pas à la Loi 25 et ne maximise pas l'efficacité. Ce guide intermédiaire présente la stratification IA par poste de travail — IA locale (Ollama, LM Studio, Llama 3.3, Mistral) pour les renseignements personnels confidentiels, IA cloud (Claude, GPT-5, Copilot) pour le raisonnement complexe, IA spécialisée (Togal.AI, Beam AI) pour les tâches métier — avec démonstration d'efficacité et de coûts appliquée à une PME électricien-construction.

Contenu informatif et technique pour dirigeants, RPRP (responsables de la protection des renseignements personnels) et responsables RH. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

IA générale vs stack IA par poste de travail

L'erreur la plus courante des PME en 2026 — adopter ChatGPT Business, Microsoft Copilot ou Gemini Workspace comme « IA pour tout » et confier au même outil les dossiers RH, les courriels clients, les plans d'estimation et la prospection commerciale. Stratifier l'IA par poste de travail aligne chaque tâche avec le bon outil, la bonne juridiction et la bonne posture Loi 25.

Préalables conseillés : avant d'aborder cette fiche, parcourir la Formation pratique pour intégrer l'IA en entreprise (modules sur les bases, automatisation vs IA, politique d'usage, EFVP-IA, surveillance) et la fiche Souveraineté des données (CLOUD Act, hébergeurs souverains canadiens, alternatives libres). Les deux servent de socle pour cette fiche qui les opérationnalise concrètement par poste de travail.

IA généraliste, IA spécialisée, IA locale — vocabulaire à connaître

Lecture : trois axes structurent le choix d'un outil IA — la généralité du modèle (généraliste vs spécialisé pour un domaine), l'hébergement (cloud, cloud souverain, local), et le type de tâche (raisonnement complexe, classification, extraction, génération créative). Stratifier le stack revient à ne pas confondre ces trois axes.

IA généraliste cloud — grand modèle de langage (LLM) hébergé chez un fournisseur, accessible par interface web ou API. Exemples : Claude Opus 4.7 (Anthropic), GPT-5 (OpenAI), Gemini 2 (Google), Microsoft Copilot, Mistral Large. Capable de tout faire à un niveau honorable. Coût récurrent par utilisateur ou par jeton. Exposition typique au CLOUD Act américain pour la majorité des fournisseurs.

IA spécialisée métier (cloud) — solution SaaS conçue pour une fonction précise. Exemples en construction : Togal.AI (extraction de plans), Beam AI (quantity takeoff), STACK AI Assist (détection éléments architecturaux), Buildots (suivi de chantier). Domaine étroit, performance supérieure à un LLM généraliste pour la tâche cible. Le plus souvent SaaS américain — même problématique Loi 25 que les généralistes.

IA locale (auto-hébergée sur poste de travail) — modèle de langage exécuté directement sur la machine de l'utilisateur, sans connexion cloud. Outils : Ollama (API headless), LM Studio (interface graphique), llama.cpp (moteur d'inférence). Modèles : Llama 3.3 8B, Mistral Small 3, Qwen 2.5, Phi-4. Aucune sortie de renseignements personnels du poste. Limites en raisonnement complexe par rapport aux modèles frontière cloud.

IA cloud souverain — fournisseur de modèles dont la juridiction et l'infrastructure sont au Canada ou dans un pays non soumis aux lois extraterritoriales américaines. Marché jeune en 2026 — Telus Sovereign AI Factory à Rimouski est le projet phare au Québec, encore orienté grandes organisations. Pour les PME, l'option pratique reste l'hébergement chez un fournisseur souverain (OVHcloud Canada, PlanetHoster, Vexxhost) d'un modèle open source servi via API.

En clair pour la direction

Aucune des quatre catégories n'est interdite par la Loi 25. Mais chacune ouvre un profil de risque différent et un profil d'efficacité différent. Adopter un seul outil pour tout, c'est accepter le profil le plus défavorable sur toutes les tâches. Stratifier, c'est choisir consciemment où placer chaque type de tâche.

Pourquoi un stack stratifié minimise les risques Loi 25

Repère juridique : dès qu'un outil d'IA traite des renseignements personnels, la Loi 25 s'applique intégralement. Le fait que le traitement passe par une IA tierce ne dispense d'aucune obligation — registre, EFVP, encadrement des sous-traitants (art. 18.3), droit à l'information (art. 12.1 sur les décisions automatisées), communications hors Québec (art. 17).

Plus on confie tout à une IA généraliste cloud unique, plus on cumule les obligations Loi 25 sur cette IA :

  • Article 17 — EFVP transfrontalière à chaque type de RP qui transite par l'IA américaine.
  • Article 18.3 — entente écrite avec le fournisseur, couvrant tous les types de RP traités.
  • Article 12.1 — pour chaque décision exclusivement automatisée, droit d'information, droit aux observations, droit à l'explication. Multiplier les usages, c'est multiplier les décisions à documenter.
  • Politique de confidentialité — mention de transfert hors Québec et de prise de décision automatisée.
  • Registre — chaque traitement IA documenté distinctement.

Stratifier réduit la surface d'exposition. Concrètement :

  • Les RP confidentiels (dossiers RH, incidents, contrats internes) restent sur IA locale — aucune EFVP transfrontalière, aucune entente sous-traitant requise, aucune décision automatisée hors juridiction québécoise.
  • Les tâches sans RP (raisonnement, rédaction marketing, prospection B2B publique) peuvent utiliser le cloud généraliste sans déclencher la majorité des obligations.
  • Les tâches métier spécialisées (estimation soumissions, takeoff) utilisent l'IA spécialisée cloud, avec une EFVP ciblée sur ce périmètre uniquement.

En clair pour le RPRP

Un seul outil IA généraliste pour tous les postes oblige à documenter l'ensemble des traitements, à signer des ententes globales et à informer chaque personne concernée à chaque type de décision. Un stack stratifié permet de produire une EFVP ciblée et défendable par poste, et d'isoler les décisions automatisées qui nécessitent un traitement art. 12.1 spécifique.

Résilience opérationnelle — pourquoi le stack par poste isole les pannes

Repère opérationnel : au-delà de la Loi 25, la stratification par poste offre un avantage de continuité d'activité — une panne ou une indisponibilité ne paralyse pas toute l'équipe.

Trois architectures comparées en cas de panne :

  • IA cloud unique pour toute l'organisation — si le fournisseur subit une panne, une coupure de service ou une dégradation, toute l'équipe perd l'outil simultanément. Les pannes majeures de Microsoft 365, OpenAI ou Anthropic, bien que rares, se sont déjà produites en 2024 et 2025 avec des impacts à l'échelle de plusieurs heures.
  • IA locale commune partagée sur un seul serveur de l'organisation — si la machine plante, si le disque tombe, si l'OS doit être réinstallé ou si une mise à jour échoue, toute l'équipe perd l'outil simultanément. C'est l'équivalent d'un point de défaillance unique pour l'IA. Particulièrement grave si des workflows automatisés ou des intégrations métier dépendent du serveur (n8n, Make, scripts internes).
  • Stack stratifié par poste de travail — chaque poste opère son IA locale indépendamment. Si le poste de l'adjointe administrative plante, l'estimateur et le dirigeant continuent. Si le SaaS Togal.AI a un incident, la comptabilité et la prospection ne sont pas touchées. La continuité d'activité est préservée par construction.

Effet d'amplification quand des automatismes dépendent de l'IA

Une PME qui a construit un workflow n8n ou un automatisme métier qui appelle un seul moteur IA centralisé se retrouve avec ce moteur comme point de défaillance unique de toute la chaîne automatisée. Une coupure de quelques heures peut arrêter la facturation, la qualification des leads, la classification des courriels entrants ou la génération de devis. Distribuer l'IA par poste permet de répartir la dépendance, ce qui rend l'organisation plus robuste — et surtout permet de continuer à fonctionner manuellement poste par poste pendant la panne.

Conséquence pratique pour la stratification. Un stack IA par poste, même si la gouvernance est plus complexe à documenter, agit comme une architecture distribuée résiliente. Couplé avec des sauvegardes locales des configurations Ollama ou LM Studio et des modèles téléchargés une fois et réutilisables sans connexion, on obtient une organisation qui tolère mieux les pannes d'Internet, les coupures de service SaaS et les incidents matériels.

Cloud IA vs IA locale — matériel, modèles quantifiés et limites de chaque approche

Lecture : l'IA locale réduit l'exposition Loi 25 mais demande un investissement matériel et une compréhension de la quantification des modèles. L'IA cloud reste supérieure pour le raisonnement complexe, le code agentique et le contexte long, mais expose à des obligations Loi 25 récurrentes.

Modèles quantifiés. Un modèle de langage stocke ses paramètres en virgule flottante 16 bits (FP16) par défaut. La quantification réduit cette précision (souvent à 4 bits par paramètre — Q4_K_M en format GGUF) pour faire tenir le modèle sur du matériel plus léger. La perte de qualité varie de 1 à 3 % sur les benchmarks de raisonnement (MMLU), différence imperceptible pour la majorité des tâches PME courantes (résumé, classification, extraction d'information).

Formats de quantification. Trois standards dominent en 2026 :

  • GGUF — format standard pour Ollama, LM Studio, Jan AI et GPT4All. Optimisé pour CPU et Apple Silicon. Idéal pour démarrer sur un poste sans GPU dédié.
  • AWQ — quantification optimisée GPU NVIDIA. Conserve environ 95 % de la qualité du modèle original. Recommandée pour serveurs avec accélération GPU.
  • GPTQ — alternative AWQ, qualité légèrement inférieure mais plus largement compatible.

Exigences matérielles indicatives. Pour les modèles 7 à 8 milliards de paramètres en format Q4_K_M, le modèle occupe moins de 5 GB sur disque et fonctionne sur 8 à 16 GB de mémoire. Pour les modèles 14B en Q4_K_M, prévoir 16 GB de RAM minimum et idéalement un GPU dédié de milieu de gamme. Pour les modèles 27B et plus (Qwen3.6 et équivalents), il faut un GPU 24 GB de VRAM ou un Mac Apple Silicon M4 Max avec mémoire unifiée 64 GB et plus — investissement justifié seulement par un volume d'usage soutenu sur le poste dédié.

Modèle local 2026 Taille Q4_K_M RAM / VRAM minimum Cas d'usage typique
Phi-4-mini 3.8B ~2.3 GB disque 8 GB RAM Démarrage sur poste 8 GB. Tâches simples : résumé court, reformulation.
Llama 3.3 8B ~4.9 GB disque 8-16 GB RAM Généraliste polyvalent. Résumé, classification, extraction, conversation interne.
Mistral Small 3 7B ~4.5 GB disque 8-16 GB RAM Excellent rapport vitesse/qualité sur matériel modeste.
Qwen 2.5 14B ~9 GB disque 16 GB RAM + GPU recommandé Code et analyse de structures (72.5 % sur HumanEval).
Qwen3.6-27B ~16.8 GB VRAM GPU 24 GB ou Mac M-series 32 GB+ Raisonnement intermédiaire. Demande poste dédié.
Qwen3.6-35B et plus ~21 GB VRAM GPU 24 GB ou Mac M4 Max 64 GB+ Approche serveur dédié. Investissement matériel marqué.

Mise à jour matérielle attendue. Un poste de travail typique PME en 2026 (8 à 16 GB de RAM, GPU intégré) ne fait tourner que les modèles 7 à 8 milliards de paramètres correctement. Pour exploiter sérieusement l'IA locale, il faut généralement :

  • Soit moderniser un poste existant (RAM portée à 32 GB, ajout d'une carte GPU dédiée RTX 4060 ou supérieure).
  • Soit acquérir un poste dédié spécifiquement à l'IA, partagé entre plusieurs employés.
  • Côté Apple, un MacBook Pro M3 Pro ou M4 avec 24 à 36 GB de mémoire unifiée est particulièrement performant grâce au support natif MLX dans LM Studio.

Forces et limites concrètes de l'IA locale

Parfait pour les renseignements personnels confidentiels — résumé de dossiers RH, classification de courriels clients, extraction d'information depuis des contrats internes, reformulation de communications sensibles. Les renseignements ne quittent jamais le poste, l'EFVP transfrontalière disparaît, l'article 18.3 n'est plus engagé.

Moins efficace pour les tâches lourdes de calcul ou de raisonnement — code agentique sur une base volumineuse, raisonnement multi-étapes complexe, contexte long (au-delà de 32 000 tokens), génération multimodale (vision et texte combinés à grande échelle). Pour ces tâches, les modèles frontière cloud (Claude Opus 4.7, GPT-5, Mistral Medium 3.5) restent supérieurs, sous réserve qu'aucun RP n'y transite sans EFVP préalable.

Catalogue d'options par poste de travail

Lecture : chaque poste de travail dans une PME traite un type différent de renseignements personnels avec des exigences Loi 25 distinctes. Le tableau ci-dessous propose un choix consciemment stratifié, à adapter au contexte de chaque organisation.
Poste de travail RP typiques traités Outil IA recommandé Hébergement
Administration / comptabilité Factures, contrats, RP fournisseurs et employés LLM local (Llama 3.3 8B, Mistral Small 3) pour tri et résumé interne ; cloud généraliste pour formules Excel sans RP Mixte — local pour RP, cloud pour calculs
Estimation / soumission Plans clients, métrés, mesures IA spécialisée construction (Togal.AI, Beam AI, STACK) SaaS US — EFVP documentée + DPA fournisseur
Design technique / CAD Plans clients, NEQ, schémas Copilots intégrés AutoCAD/Revit, Bricsys AI Cloud — EFVP ciblée
Service client / chatbot site web Conversations, identifiants, demandes LLM local fine-tuné ou hébergé sur cloud souverain canadien, avec règle de transfert systématique vers humain pour toute décision avec impact significatif Local ou cloud souverain (art. 12.1 strict)
Prospection / CRM Données B2B publiques principalement Outils SaaS d'enrichissement (Apollo, Lemlist, Lavender) Cloud — RP B2B publics moins exposés
Gouvernance interne / documents sensibles Dossiers RH, incidents, RP confidentiels LLM local strict (Llama 3.3, Mistral Small) Local obligatoire

Pour les RH

Tous les RH d'une PME ont besoin de comprendre où vivent les renseignements de chaque employé quand ils passent par une IA. Stratifier le stack n'est pas un choix purement technique — c'est aussi une question de respect du dossier d'un employé qui ne devrait pas se retrouver sur un serveur américain pour répondre à une simple question RH d'un collègue.

Étude de cas appliquée — PME électricien-construction Côte-Nord

Profil : entreprise familiale d'une dizaine d'employés en électricité résidentielle et commerciale, basée Côte-Nord. Logiciels métiers : Acomba (comptabilité), AutoCAD (plans), plateforme CMEQ (fournisseurs et appels de service). Bureautique : Microsoft 365 Business Standard. Considère adoption IA mais préoccupée par Loi 25 et coûts.

Approche stratifiée — déploiement par poste sur quelques mois.

Poste estimation (l'estimateur et un adjoint). Adoption de Togal.AI ou Beam AI pour l'extraction automatique de quantités depuis les plans clients. EFVP documentée pour le périmètre limité « plans techniques et coordonnées de l'estimateur côté fournisseur ». Entente écrite signée avec le fournisseur (DPA). Gains observés en industrie : préparation de soumissions deux à trois fois plus rapide, ce qui permet à un estimateur de bidder plus de mandats par mois.

Poste comptabilité (l'adjointe administrative). Installation de LM Studio + Llama 3.3 8B sur un poste dédié 32 GB de RAM avec GPU intégré récent. Modèle quantifié Q4_K_M, 4.9 GB sur disque. Usage : résumés de contrats fournisseurs, classification de factures, extraction d'information depuis des courriels pour Acomba. Aucun renseignement personnel ne quitte le poste — aucune EFVP transfrontalière, aucun DPA à signer, aucune mention dans la politique de confidentialité à ajouter.

Poste direction (le dirigeant et le contremaître). Cloud Claude ou GPT-5 utilisé pour le raisonnement complexe sur les appels d'offres majeurs et la stratégie d'affaires. Règle interne stricte : aucun renseignement personnel ne transite par ces outils sans EFVP préalable. Usage limité aux spécifications techniques anonymisées et à la réflexion stratégique.

Poste prospection (le dirigeant ou un employé administratif). Outils SaaS B2B classiques d'enrichissement de contacts (Apollo, Lemlist) — les renseignements traités sont B2B publics, exposition Loi 25 plus limitée. EFVP allégée documentée pour ce périmètre.

Chatbot site web (futur). Si projet de chatbot pour service client web, déploiement d'un LLM local Llama 3.3 sur infrastructure dédiée OU API d'un hébergeur souverain canadien (Vexxhost, PlanetHoster). Garde-fou article 12.1 : toute demande qui pourrait constituer une décision avec impact significatif pour le visiteur est immédiatement redirigée vers un membre du personnel.

Investissement initial estimé.

  • Poste dédié IA locale (RAM portée à 32 GB + GPU milieu de gamme RTX 4060 ou supérieur) : 2 000 à 4 000 $ CAD selon configuration et achat neuf ou modernisation.
  • Abonnements IA spécialisée estimation pour deux utilisateurs : 300 à 900 $ CAD par mois selon plan (Togal.AI ou Beam AI typiquement 150 à 300 $ US/utilisateur/mois en mid-market).
  • Abonnements IA généraliste cloud pour direction : 25 à 50 $ CAD par utilisateur par mois.
  • Mandat de conseil pour cartographier les flux et structurer les EFVP par poste : variable selon le périmètre.

ROI selon estimations d'industrie 2026. Réduction du temps de préparation des soumissions typiquement de 50 % avec Togal.AI ou équivalent. Économie estimée de l'ordre de 5,6 heures par employé par semaine sur l'ensemble des tâches IA-compatibles (source : Business.com 2026 Small Business AI Outlook). ROI typique observé entre 3 et 6 mois sur le poste estimation seul (sources : industrie estimation 2026). Les économies sur les postes comptabilité et direction sont moins quantifiées mais réelles.

Honnêteté sur les chiffres et sur l'échec

80 % des projets IA échouent — chiffre Gartner avril 2026 corroboré par une analyse RAND 2025. Les projets qui réussissent partagent des caractéristiques précises : une entreprise structurée, des processus documentés, un cadre conforme à la Loi 25. Adopter une IA sans cadre, c'est produire plus vite les mêmes erreurs et accumuler des risques légaux. La stratification par poste de travail est un des leviers concrets pour faire partie des 20 % qui réussissent.

Articulation avec la famille ISO 42001

La stratification par poste de travail n'est pas une alternative à la famille ISO IA — elle l'opérationnalise au niveau du poste plutôt qu'à celui d'une organisation entière. Pour chaque poste :

  • ISO/IEC 22989 fournit le vocabulaire commun pour décrire le système d'IA déployé sur ce poste.
  • ISO/IEC 23894 sert à identifier les risques propres au poste (biais, hallucinations, dérive, dépendance fournisseur).
  • ISO/IEC 42005 structure une évaluation d'impact (EFVP-IA) ciblée sur le poste — plus simple à produire qu'une EFVP globale, plus défendable parce que ciblée.
  • ISO/IEC 42001 orchestre l'ensemble du stack au niveau de l'organisation, comme un système de management de tous les postes IA déployés.
  • ISO/IEC 38507 formalise au niveau de la direction le choix stratifié comme posture de gouvernance.

Articulation avec la fiche Souveraineté des données

Le choix entre IA locale, IA cloud souverain et IA cloud américaine est exactement le même débat que celui développé dans la fiche Souveraineté des données. La nationalité juridique du fournisseur de l'IA détermine l'exposition au CLOUD Act américain, qui détermine les obligations Loi 25 articles 17, 18.3 et 12.1.

Concrètement :

  • IA locale = souveraineté maximale, les RP ne quittent jamais le poste. Pas de juridiction étrangère engagée.
  • IA cloud souverain canadien = hébergement chez Vexxhost, PlanetHoster, OVHcloud Canada d'un modèle open source servi via API. Souveraineté juridique préservée, performance cloud.
  • IA cloud US (Microsoft Copilot, ChatGPT Business, Gemini Workspace, Anthropic Claude API) = exposition au CLOUD Act, obligations Loi 25 récurrentes à documenter.

Article 12.1 — décisions exclusivement automatisées

Repère juridique : entré en vigueur le 22 septembre 2023. S'applique à toute décision exclusivement automatisée fondée sur un renseignement personnel qui produit des effets juridiques ou affecte significativement la personne. Pénalités administratives jusqu'à 4 % du chiffre d'affaires mondial ou 25 millions de dollars canadiens.

Trois obligations cumulatives quand l'article s'applique :

  • Information préalable — la personne doit être informée que la décision est exclusivement automatisée.
  • Droit aux observations — la personne doit pouvoir présenter ses observations à un membre du personnel.
  • Droit à l'explication — sur demande, l'organisation doit communiquer les renseignements utilisés et les facteurs principaux ayant mené à la décision.

Couverture typique pour une PME : algorithme d'embauche, scoring de crédit interne, chatbot qui prend des décisions sur un compte client, souscription automatisée. La stratification par poste de travail aide à isoler les usages qui tombent sous l'article — typiquement le chatbot service client et certains usages comptabilité / RH — et à les traiter avec les garanties requises (transfert vers humain pour décision avec impact significatif).

Nuances honnêtes — limites du stack stratifié

Limite : stratifier n'est pas trivial. La complexité de gestion d'outils multiples est réelle et peut dépasser le gain de conformité si le périmètre n'est pas raisonnable.
  • L'IA locale a une courbe d'apprentissage. Installer Ollama ou LM Studio, choisir un modèle, le configurer, l'intégrer à un workflow quotidien — ce n'est pas du « clic suivant ». Pour une PME sans TI interne, le déploiement initial demande l'aide d'un TI contractuel.
  • La quantification a des limites. Pour certaines tâches sensibles à la précision (analyse financière fine, code complexe), la perte de 1 à 3 % de qualité peut devenir mesurable. Tester avant de déployer en production.
  • Le matériel demande un investissement. Un poste 32 GB RAM + GPU dédié peut coûter 2 000 à 4 000 $ CAD. Cet investissement est rentable seulement si plusieurs employés ou plusieurs tâches l'exploitent. Pour une organisation très petite, le cloud souverain peut être plus économique.
  • Multiplier les outils complique la gouvernance. Chaque poste IA = un risque distinct, une EFVP distincte, une politique d'usage. Documenter cette stratification est essentiel pour qu'elle produise les gains attendus sur la conformité.
  • L'IA cloud reste indispensable pour certaines tâches. Le raisonnement complexe, le code agentique, le contexte long et la génération multimodale lourde restent supérieurs sur les modèles frontière. Refuser tout cloud n'est pas réaliste — c'est l'usage des RP qui doit être stratifié, pas l'outil.

Le rôle de Kaven dans un mandat de stratification IA

Comme pour la fiche Souveraineté des données, ce guide structure la conversation entre la direction, le RPRP et l'équipe TI. Kaven n'installe pas les outils techniques — il cartographie, identifie les écarts Loi 25, structure les EFVP par poste, documente les décisions automatisées au sens de l'article 12.1 et tient le registre. L'installation d'Ollama, le choix du modèle, la configuration du GPU, l'intégration aux logiciels métiers : c'est l'équipe TI interne ou contractuelle.

Ce que Kaven fait :

  • Cartographier les usages IA actuels et les renseignements personnels qui transitent par chacun.
  • Identifier les écarts Loi 25 par poste (EFVP manquantes, art. 12.1 non documenté, art. 18.3 non signé).
  • Proposer une stratification réaliste alignée avec le contexte et les moyens de l'organisation.
  • Préparer les évaluations d'impact (EFVP-IA inspirées d'ISO 42005) par poste de travail.
  • Documenter les décisions automatisées et les règles de transfert vers un humain (art. 12.1).
  • Tenir le registre des activités IA, mettre à jour la politique de confidentialité, structurer la communication aux personnes concernées.

À retenir

  1. Une IA généraliste cloud pour tout cumule les obligations Loi 25 — EFVP transfrontalière, entente sous-traitant globale, décisions automatisées multiples à documenter, politique de confidentialité chargée.
  2. Stratifier par poste de travail isole chaque type de RP avec le bon outil et la bonne juridiction — IA locale pour les confidentiels, IA spécialisée cloud pour les tâches métier avec EFVP ciblée, IA généraliste cloud pour les tâches sans RP.
  3. L'IA locale est performante sur les tâches de résumé, classification, extraction — c'est-à-dire la majorité des besoins administratifs PME. Modèles quantifiés Q4_K_M (Llama 3.3 8B, Mistral Small, Phi-4) tournent sur 8 à 16 GB de RAM avec un GPU intégré ou milieu de gamme.
  4. L'IA cloud reste supérieure pour le raisonnement complexe — Claude Opus 4.7, GPT-5, Mistral Medium 3.5 — à condition qu'aucun RP n'y transite sans EFVP préalable.
  5. L'article 12.1 de la Loi 25 impose trois garanties sur les décisions exclusivement automatisées — information, observations, explication. Stratifier facilite l'identification et la documentation des décisions qui tombent sous cet article.
  6. La famille ISO 42001 (22989, 23894, 42001, 42005, 38507) opérationnalise la gouvernance du stack — chaque poste = une EFVP-IA ciblée plutôt qu'une évaluation globale floue.
  7. La stratification par poste apporte une résilience opérationnelle — une panne d'un poste ou d'un fournisseur SaaS n'arrête pas toute l'équipe, contrairement à une IA cloud unique ou à une IA locale commune partagée. Cette robustesse est critique quand des workflows automatisés (n8n, Make, scripts internes) dépendent de l'IA — répartir évite le point de défaillance unique.

Vous voulez situer vos usages IA actuels par rapport à la Loi 25?

Un appel d'orientation de 30 minutes, gratuit et sans engagement. On regarde ensemble quels postes utilisent quelles IA aujourd'hui, où sont les écarts de conformité et par où démarrer une stratification réaliste.

Planifier l'appel d'orientation →