Une politique d'utilisation de l'intelligence artificielle donne aux employés des règles simples pour travailler avec ChatGPT, Claude, Gemini, Copilot et les outils intégrés aux logiciels de l'entreprise. Son but n'est pas de bloquer l'expérimentation. Il est de rendre les bons usages faciles et les usages risqués visibles.

Le modèle ci-dessous est conçu pour une PME québécoise. Il peut servir de point de départ, mais doit être adapté aux données, aux contrats, au secteur et aux obligations de l'entreprise.

Pourquoi adopter une politique IA maintenant ?

L'IA entre souvent dans l'organisation avant le projet officiel. Une personne utilise un compte personnel pour résumer un contrat. Une autre active une fonction dans un logiciel. Une équipe copie des notes clients dans un assistant pour gagner du temps. Sans cadre, personne ne sait clairement :

  • quels outils ont été évalués;
  • où les données sont traitées;
  • si les résultats doivent être déclarés ou vérifiés;
  • qui approuve une automatisation;
  • comment retirer un accès;
  • quoi faire en cas d'erreur ou d'incident.

Le Guide sur l'utilisation de l'IA générative du gouvernement du Canada recommande notamment de protéger les renseignements, vérifier les sorties, demeurer transparent et adapter les règles au contexte de l'organisation.

Une politique utile transforme ces principes en décisions quotidiennes.

Politique, procédure et registre : trois documents différents

DocumentRôleExemple
PolitiqueÉtablit les règles et responsabilités« Les renseignements sensibles ne peuvent être soumis qu'à un outil expressément approuvé. »
ProcédureExplique comment appliquer une règleComment demander l'approbation d'un nouvel outil
RegistreConserve les faits et décisionsListe des outils, responsables, données, fournisseurs et revues

Évitez de placer chaque nom de produit et chaque réglage dans la politique principale. Une annexe ou un registre peut être mis à jour plus rapidement lorsque les outils changent.

Modèle de politique d'utilisation de l'IA

Les passages intitulés Texte modèle peuvent être adaptés dans votre propre document.

1. Objet de la politique

Texte modèle

La présente politique encadre l'utilisation de systèmes d'intelligence artificielle dans le travail de [Nom de l'entreprise]. Elle vise à favoriser les usages utiles tout en protégeant les personnes, les renseignements, les actifs, la réputation et les décisions de l'entreprise. Elle s'applique à tout outil d'IA utilisé pour accomplir une tâche professionnelle, qu'il soit fourni par l'entreprise, accessible sur le Web ou intégré à un logiciel existant.

Cette portée évite une faille fréquente : limiter la règle à ChatGPT alors que des fonctions IA existent déjà dans le CRM, la suite bureautique, la plateforme de recrutement et les outils de création.

2. Personnes visées

Texte modèle

La politique s'applique aux employés, dirigeants, administrateurs, consultants, stagiaires et fournisseurs qui utilisent l'IA pour le compte de l'entreprise ou avec ses données. Les gestionnaires sont responsables de faire connaître les règles et de signaler les nouveaux usages dans leur équipe.

Les contrats avec les fournisseurs devraient aussi préciser les obligations de confidentialité, de sécurité, d'incident et de retour ou destruction des données.

3. Outils et comptes approuvés

Texte modèle

Seuls les outils, offres et comptes inscrits au registre des outils approuvés peuvent être utilisés avec de l'information non publique de l'entreprise. Les employés doivent utiliser leur identité professionnelle et les paramètres administrés par l'entreprise. Un compte personnel ou gratuit ne peut pas servir à traiter des renseignements confidentiels, des renseignements personnels ou des secrets commerciaux.

Le registre devrait préciser :

  • le produit et l'offre contractuelle;
  • le propriétaire interne;
  • les groupes autorisés;
  • les catégories de données permises;
  • les fonctions et connecteurs activés;
  • les conditions de conservation;
  • la date de la dernière revue;
  • la procédure pour retirer l'accès.

Une marque approuvée ne signifie pas que toutes ses fonctions le sont. Un connecteur donnant accès à l'ensemble de Drive ou SharePoint mérite une évaluation distincte.

4. Classification des données

Une règle à trois niveaux est plus facile à appliquer qu'une longue liste juridique.

NiveauExemplesRègle proposée
Vert, publicSite Web, communiqué, offre publique, données ouvertesPeut être utilisé dans un outil approuvé ou public selon les règles normales
Jaune, interne ou confidentielProcédure interne, rapport non public, prix, stratégie, dossier de projetSeulement dans un environnement professionnel approuvé pour cette catégorie
Rouge, sensible ou fortement restreintNAS, santé, paie nominative, mot de passe, secret commercial critique, données d'enquêteInterdit par défaut, sauf architecture et approbation formelles pour un besoin précis

Texte modèle

Avant de soumettre une information à un système d'IA, l'utilisateur doit en déterminer la classification. En cas de doute, il applique le niveau supérieur et demande conseil. Les renseignements d'authentification, clés d'API et mots de passe ne doivent jamais être saisis dans une interface d'IA conversationnelle.

Adaptez les exemples à la politique de sécurité et au registre des renseignements personnels de l'entreprise.

5. Usages permis

Texte modèle

Dans un outil approuvé et avec des données permises, l'IA peut notamment servir à produire une ébauche, résumer un contenu, traduire, organiser des idées, préparer une analyse, rechercher dans des sources autorisées, soutenir un calcul vérifié, générer du code révisé ou automatiser une étape approuvée. L'utilisateur demeure responsable du résultat et respecte les méthodes de validation applicables à sa fonction.

Une liste d'exemples par équipe aide davantage qu'une autorisation générale :

  • Ventes : préparer un compte rendu et un brouillon de suivi;
  • Finance : expliquer une variation et préparer une analyse à vérifier;
  • Opérations : rechercher une procédure et classer une demande;
  • RH : rédiger une ébauche d'affichage sans faire de décision automatisée;
  • Direction : structurer un scénario et identifier les hypothèses.

6. Usages interdits ou soumis à approbation

Texte modèle

Il est interdit d'utiliser l'IA pour contourner une mesure de sécurité, usurper une identité, fabriquer une preuve, harceler, discriminer, divulguer une information sans autorisation ou prendre seul une décision ayant un effet important sur une personne. Toute intégration qui envoie automatiquement une communication externe, modifie un système officiel, engage une dépense, influence une décision d'emploi ou traite des renseignements sensibles doit être approuvée avant son déploiement.

Exigez une approbation formelle pour :

  • recrutement, évaluation, discipline ou fin d'emploi;
  • crédit, assurance, santé ou service essentiel;
  • signature, engagement contractuel ou représentation juridique;
  • paiement, remboursement ou changement de coordonnées bancaires;
  • publication externe automatisée;
  • surveillance d'employés ou de clients;
  • reconnaissance biométrique ou profilage;
  • accès à une grande quantité de renseignements personnels;
  • agent IA capable d'agir dans plusieurs systèmes.

7. Validation humaine

Texte modèle

Toute sortie d'IA doit être vérifiée selon son impact avant d'être utilisée. La personne responsable confirme les faits, calculs, sources, destinataires, droits et conséquences. L'IA ne constitue pas une source. Une information importante doit être confirmée dans une source autorisée. Les décisions professionnelles demeurent attribuées à une personne compétente.

Le niveau de validation peut varier :

RisqueExempleValidation minimale
FaibleReformuler un texte interne non sensibleLecture de l'auteur
ModéréRésumer un dossier ou préparer un message clientVérification des faits, sources et ton
ÉlevéAnalyse financière, juridique, RH ou techniqueRevue par une personne qualifiée et preuve conservée
Très élevéAction automatisée qui touche une personne ou un paiementApprobation formelle, contrôles techniques et surveillance

La validation doit être possible. Une personne ne peut pas approuver sérieusement des centaines de décisions opaques par heure.

8. Transparence sur l'utilisation de l'IA

Texte modèle

L'entreprise informe les personnes de l'utilisation de l'IA lorsque cette utilisation peut raisonnablement influencer leur décision, leurs droits, la confiance dans le contenu ou la manière dont leur information est traitée. Les employés ne présentent pas comme une analyse humaine indépendante un résultat généré sans revue.

La mention peut prendre plusieurs formes : note dans une procédure, avis dans un service, identification d'un assistant virtuel ou explication au moment d'une décision. Elle doit être compréhensible et proportionnée à l'impact.

9. Sources, propriété intellectuelle et contenu

Texte modèle

Les utilisateurs vérifient la provenance, les droits et les restrictions applicables aux contenus soumis ou générés. Ils ne demandent pas à un outil de reproduire une œuvre, un logiciel, une base de données ou une information protégée sans autorisation. Les sources importantes sont conservées et citées. Les secrets commerciaux de l'entreprise restent protégés, même lorsqu'un outil accepte techniquement leur saisie.

Pour le code, prévoyez une revue de sécurité, de licence, de dépendances et de tests. Pour le marketing, vérifiez les affirmations, les images, les marques et le droit d'utilisation.

10. Accès, identités et agents

Texte modèle

Tout système IA qui accède à un outil de l'entreprise utilise une identité distincte, des permissions minimales et des accès révocables. Ses actions sont journalisées. Les opérations irréversibles ou à impact élevé exigent une approbation. Les propriétaires revoient périodiquement les accès, les connecteurs et les comptes inactifs.

Un cerveau d'entreprise et ses agents doivent appliquer les permissions des systèmes sources. Une instruction comme « ne montre pas les données RH » n'est pas un remplacement pour un contrôle d'accès réel.

11. Signalement des erreurs et incidents

Texte modèle

Toute personne qui constate une divulgation, un accès non autorisé, une sortie dangereuse, une décision erronée importante ou un comportement inattendu interrompt l'usage lorsque possible et communique immédiatement avec [fonction ou adresse]. Elle conserve les faits utiles sans diffuser davantage l'information. Aucun employé ne sera pénalisé pour avoir signalé de bonne foi un problème.

La procédure d'incident devrait prévoir :

  • l'arrêt ou la révocation de l'accès;
  • la conservation des traces;
  • l'évaluation des renseignements et des personnes touchées;
  • l'implication du responsable de la protection des renseignements personnels;
  • les avis, registres et communications requis;
  • la correction du système et des tests;
  • la décision de reprise.

Un incident IA peut aussi être un incident de confidentialité au sens de la Loi 25. Il doit rejoindre la procédure existante, pas vivre dans un document séparé oublié.

12. Approbation d'un nouvel outil ou usage

Texte modèle

Avant d'acquérir, d'intégrer ou d'automatiser un nouvel usage de l'IA, le propriétaire soumet une fiche décrivant l'objectif, les utilisateurs, les données, le fournisseur, les systèmes touchés, les décisions, les contrôles, le coût, la mesure de succès et la durée de conservation. Le niveau de revue est proportionnel au risque.

La fiche peut tenir sur une page :

  1. problème et résultat attendu;
  2. propriétaire d'affaires;
  3. personnes touchées;
  4. données d'entrée et de sortie;
  5. fournisseurs et lieux de traitement connus;
  6. actions ou décisions produites;
  7. validation humaine;
  8. risques et mesures de contrôle;
  9. indicateurs de valeur et de qualité;
  10. date de révision ou de retrait.

Le NIST AI Risk Management Framework Playbook recommande lui aussi une gouvernance qui précise les rôles, maintient un inventaire, définit la tolérance au risque et suit les systèmes durant leur cycle de vie.

13. Formation et responsabilités

Texte modèle

L'entreprise offre une formation adaptée aux rôles avant de permettre les usages non publics. Les utilisateurs apprennent les limites, la classification des données, la vérification, les incidents et les usages propres à leur fonction. Les gestionnaires surveillent l'application. Le responsable de chaque système maintient le registre, les contrôles et les évaluations.

Une formation IA efficace utilise les outils et les situations réelles de l'équipe. Une politique envoyée par courriel sans exercice produit peu de changement.

14. Révision de la politique

Texte modèle

La présente politique est revue au moins annuellement et lorsqu'un changement important survient dans les lois, les contrats, les outils, les données, les intégrations ou les risques. Le registre des outils approuvés peut être mis à jour plus fréquemment. La version, la date et le responsable de chaque révision sont conservés.

Ajoutez une date d'entrée en vigueur, un propriétaire, un approbateur et un historique des versions.

Comment cette politique s'inscrit-elle dans la Loi 25 ?

La politique IA n'est qu'une composante de la gouvernance des renseignements personnels. La Commission d'accès à l'information rappelle que la plus haute autorité de l'entreprise assume la fonction de responsable de la protection des renseignements personnels, à moins de délégation écrite, et que ce responsable contribue aux politiques et pratiques de gouvernance.

Selon le contexte, un usage IA peut aussi exiger :

  • un inventaire des renseignements personnels;
  • une finalité définie et une collecte limitée;
  • une information ou un consentement approprié;
  • des clauses avec les fournisseurs et sous-traitants;
  • une évaluation des facteurs relatifs à la vie privée;
  • une analyse en cas de communication hors Québec;
  • des délais de conservation et une destruction sécuritaire;
  • un processus de droits d'accès et de rectification;
  • un registre et une procédure d'incidents.

Notre guide de conformité à la Loi 25 détaille ces obligations et leurs déclencheurs.

En mai 2026, la CAI a publié les résultats d'une enquête conjointe sur OpenAI et ChatGPT. Les constats visaient notamment des pratiques initiales et ne signifient pas qu'un outil particulier est interdit dans toutes les entreprises. Ils illustrent plutôt pourquoi une PME doit évaluer le fournisseur, l'offre, les paramètres et son propre usage au lieu de se fier au nom du produit.

Une grille d'approbation selon le risque

NiveauExempleApprobation proposée
A, explorationContenu public, aucune intégrationGestionnaire et règles de base
B, usage interneDonnées internes dans un outil professionnel approuvéPropriétaire de données et TI
C, renseignements personnelsDossiers clients ou employésResponsable vie privée, sécurité et propriétaire
D, décision ou action importanteRH, crédit, paiement, agent autonomeDirection, revue juridique ou spécialisée et contrôles formels

Cette grille doit s'adapter à la taille et au secteur. Son avantage est de ne pas envoyer chaque petit usage dans un comité lourd tout en réservant une vraie revue aux situations importantes.

Plan de mise en place en 30 jours

Semaine 1 : rendre les usages visibles

  • sonder les équipes sans approche punitive;
  • lister les comptes, outils et fonctions IA;
  • repérer les données et décisions concernées;
  • nommer un propriétaire de la démarche.

Semaine 2 : décider les règles immédiates

  • choisir un ou deux outils professionnels provisoirement approuvés;
  • établir la classification vert, jaune, rouge;
  • suspendre les intégrations et usages les plus risqués;
  • définir l'adresse de signalement.

Semaine 3 : adapter et approuver la politique

  • consulter direction, vie privée, TI, sécurité, RH et opérations;
  • adapter le modèle;
  • créer le registre et la fiche de nouvel usage;
  • faire approuver le document.

Semaine 4 : former et lancer

  • expliquer les règles avec des cas réels;
  • donner accès aux comptes approuvés;
  • recueillir les questions;
  • planifier une revue après 60 à 90 jours.

Comment éviter une politique qui ne sert à rien ?

Une mauvaise politique est longue, abstraite et impossible à suivre. Une bonne politique :

  • tient sur quelques pages avec des annexes vivantes;
  • nomme les outils disponibles;
  • donne des exemples par fonction;
  • explique quoi faire en cas de doute;
  • offre une voie rapide pour proposer un usage;
  • attribue chaque système à un propriétaire;
  • lie les règles aux accès techniques;
  • est enseignée et testée;
  • est revue à partir des incidents et des usages réels.

Ne mesurez pas seulement le nombre d'employés qui ont signé. Mesurez la proportion de comptes professionnels, les outils inconnus détectés, les demandes approuvées, les incidents, les accès retirés et les usages qui créent une valeur mesurable.

Liste de contrôle avant publication

  • La portée inclut les fonctions IA intégrées aux logiciels.
  • Les outils et offres approuvés sont nommés dans un registre.
  • Les comptes personnels sont encadrés.
  • Les données sont classifiées avec des exemples.
  • Les décisions et actions à impact élevé sont identifiées.
  • La validation humaine est proportionnée au risque.
  • Les règles de transparence sont claires.
  • Les agents ont une identité et des permissions minimales.
  • L'incident IA rejoint la procédure de confidentialité.
  • Un formulaire simple existe pour les nouveaux usages.
  • Les rôles et approbateurs sont nommés.
  • Une formation et une date de révision sont prévues.

Sources principales

Ce modèle est un point de départ opérationnel et ne constitue pas un avis juridique. Faites-le adapter à vos activités, contrats, renseignements et obligations sectorielles.