Nos données sont-elles en sécurité avec l'IA?

« Nos données sont-elles en sécurité avec l'IA? » — c'est souvent la deuxième question, juste après « combien ça coûte? »

Et c'est la bonne question. Brancher un outil d'IA sur vos courriels, contrats, plans ou données clients sans cadre, c'est prendre un risque inutile. Les articles sur la culture sécurité posent les bases; ici, je réponds à la préoccupation concrète : l'IA et vos données d'affaires.

En bref

• Le risque principal n'est pas l'IA en soi — c'est où vont vos données et qui y a accès
• Les outils grand public (ChatGPT gratuit, apps non approuvées) ≠ solutions entreprise avec contrôles
• Un cadre simple suffit pour un pilote : classification, périmètre, validation humaine, traçabilité
• La Loi 25 au Québec renforce l'obligation de transparence — l'IA n'y change rien, elle accentue l'enjeu
• Un bon pilote IA peut être plus sécurisé qu'un processus actuel (courriels non chiffrés, clés USB, notes dispersées)

Où le risque se crée vraiment

Situation	Niveau de risque	Pourquoi
Employé colle un contrat client dans un outil grand public	Élevé	Données peuvent être utilisées pour entraînement ou stockées hors contrôle
Pilote sur documents internes non sensibles, outil entreprise	Modéré	Périmètre limité, contrats clairs
Flux avec données classifiées, hébergement Canada, MFA, journalisation	Faible (si bien configuré)	Contrôles alignés sur vos politiques existantes

Le problème le plus fréquent que je vois n'est pas un piratage spectaculaire. C'est un contournement bien intentionné : quelqu'un veut gagner du temps et envoie des données sensibles dans le mauvais outil.

Les cinq questions à poser avant tout pilote

1. Quelles données entre dans le flux? (Internes seulement? Données personnelles? Secrets commerciaux?)
2. Où sont-elles traitées et stockées? (Région, fournisseur, sous-traitants)
3. Sont-elles utilisées pour entraîner un modèle? (La réponse doit être non pour un usage entreprise)
4. Qui a accès et comment authentifie-t-on? (Comptes individuels, MFA, pas de partage de mot de passe)
5. Que se passe-t-il en cas d'incident? (Notification, suppression, journaux)

Si un fournisseur ou un intégrateur ne répond pas clairement à ces questions, ce n'est pas le bon moment pour un pilote à données réelles.

Ce qu'un cadre minimal ressemble en PME

Pas besoin d'un manuel de 80 pages pour commencer :

• Classer — vert (interne, pilote OK), jaune (données personnelles — règles strictes), rouge (interdit sans revue juridique)
• Approuver — liste d'outils autorisés; pas de « bring your own AI » sans gouvernance
• Valider — humain dans la boucle avant toute diffusion externe (comptes-rendus, rapports, courriels clients)
• Documenter — qui fait quoi, quelle donnée circule, où elle est archivée
• Former — 30 minutes de sensibilisation vaut plus qu'une politique ignorée (cybersécurité : responsabilité de chacun)

L'IA peut améliorer la sécurité (si on structure)

Ironiquement, un flux IA bien cadré remplace parfois des pratiques plus risquées :

• Notes de réunion dans des courriels non chiffrés → transcription dans un espace contrôlé
• Copies papier ou clés USB → archivage central avec permissions
• « Je me souviens de ce qu'on a dit » → trace écrite validée

La sécurité n'est pas l'ennemi de l'IA. C'est le prérequis pour qu'une équipe lui fasse confiance.

Loi 25 et IA : ce que les dirigeants québécois doivent savoir

La Loi 25 exige transparence, minimisation et protection des renseignements personnels. L'IA ne crée pas une exemption — au contraire, elle amplifie le volume de données traitées. Pour un pilote :

• Limiter les renseignements personnels au strict nécessaire
• Documenter la finalité du traitement
• Vérifier les ententes avec les fournisseurs (sous-traitants, transferts hors Québec si applicable)

Je ne suis pas avocat; pour les cas sensibles, impliquez votre conseiller juridique tôt — pas après le déploiement.

Signaux d'alarme

• « On ne sait pas où vont les données, mais c'est pratique »
• Un seul compte partagé pour toute l'équipe
• Aucune relecture humaine avant envoi client
• Outil non listé dans les contrats ou politiques de l'organisation
• Pression pour « aller vite » sans cadre

Pour aller plus loin

• Comment bâtir une culture axée sur la sécurité
• La cybersécurité, c'est la responsabilité de chacun
• IA en PME : commencer petit, mesurer, garder la confiance

La sécurité des données avec l'IA, ce n'est pas « tout ou rien ». C'est un périmètre clair, des outils approuvés et des humains responsables. Si vous hésitez à lancer un pilote par crainte des données, parlons-en — on peut souvent démarrer sur un cas interne à faible risque sans compromettre vos clients.