« Il nous faut une politique IA » veut souvent dire « un PDF de 40 pages que personne ne lira ». Les PME ont besoin de moins — cinq décisions que tout le monde comprend.
La gouvernance — le cadre de règles pratiques pour utiliser l'IA en sécurité — n'est pas de la bureaucratie pour elle-même. C'est comment capturer les bénéfices de l'IA sans outils parallèles, fuites de données ou crise de confiance après un mauvais courriel client. J'ai aidé des organisations de 15 à 500 personnes à adopter un cadre minimal en jours, pas en mois.
En bref
- Cinq piliers : outils, données, rôles, revue, escalade
- S'aligner sur les habitudes sécurité et vie privée existantes — pas un univers parallèle
- Québec : lier à la Loi 25 et aux bases de confidentialité
- Revoir trimestriellement ; mettre à jour quand les outils ou cas d'usage changent
Pilier 1 — Outils approuvés
| À faire | À éviter |
|---|---|
| Liste courte d'outils vérifiés avec entente entreprise | Laisser chaque employé choisir des apps gratuites |
| Documenter pourquoi (données, région) | Supposer « Microsoft/Google = sécurisé » sans config |
| Décourager les téléversements non approuvés | Ignorer le technologie non approuvée parce que « ça avance » |
Une page : nom, usage approuvé, classes de données, responsable.
Pilier 2 — Classification des données
Même feu tricolore que pour la sécurité IA :
- Vert — brouillons internes, synthèses non sensibles
- Jaune — renseignements personnels, contrats, finances — règles strictes
- Rouge — pas d'IA sans avis juridique/sécurité
Chaque proposition de pilote indique sa classe avant test.
Pilier 3 — Rôles et responsabilité
Des personnes nommées, pas des comités :
- Commandite direction — ton, déblocage
- Responsable pilote — quotidien, indicateurs, formation
- TI ou sécurité — accès, journalisation, fournisseur
- Utilisateurs — règles, signalement sans blâme
L'ambiguïté mène au « c'est l'IA qui a envoyé » — donc à personne.
Pilier 4 — Revue humaine
Toujours approuver humainement avant usage externe :
- Courriels et livrables clients
- Soumissions, prix, langage juridique
- Tout dérivé de données jaune/rouge
Les brouillons internes peuvent être plus légers — mais l'humain dans la boucle (HITL), où une personne nommée approuve avant toute diffusion externe, reste essentiel pour la confiance.
Pilier 5 — Escalade
En cas d'erreur — mauvais destinataire, extrait fuité, fait inventé :
- Arrêter le flux
- Aviser commandite + sécurité
- Documenter (quoi, quand, quel outil)
- Corriger le processus avant de blâmer
Une escalade sans blâme bat une culture de contournement caché.
Exemple : politique d'une page en 3 heures
Une PME manufacturière (48 personnes) a rédigé sa politique IA en une session de travail :
| Section | Contenu (résumé) |
|---|---|
| Finalité | IA en appui ; responsabilité humaine inchangée |
| Outils | 2 outils entreprise ; liste à jour sur intranet |
| Données | Vert/jaune/rouge ; pilotes = vert seulement au départ |
| Revue | Associé ou chef d'équipe avant tout envoi client |
| Escalade | Courriel TI + commandite ; pas de blâme si signalement |
| Révision | Trimestrielle ; prochaine date notée |
Indicateurs après 4 mois : 0 incident de fuite, 2 pilotes actifs, technologie non approuvée consommateur réduit de ~60 % (mesuré par sondage anonyme). La direction a étendu le jaune à un flux contrôlé parce que le cadre existait — pas malgré lui.
Contenu de la politique d'une page
- Finalité — IA en appui, pas en remplacement de la responsabilité
- Outils + classes de données
- Règles de revue
- Lien formation (30 min sensibilisation)
- Contact questions
- Date de révision
Suffisant pour démarrer une adoption progressive.
La gouvernance accélère (contre-intuitivement)
Sans règles, chacun va vite seul — l'organisation stagne après un incident. Des garde-fous clairs permettent d'étendre les pilotes parce que la direction sait ce qui se passe.
Signaux de sous-gouvernance
- « On utilise ChatGPT » sans entente entreprise
- Aucune liste de ce qui est permis dans les prompts
- Livrables clients sans second regard
- TI découvre l'IA via une facture, pas un plan
Où vous en êtes
Vous progressez dans Gouverner et faire durer — cadre minimal formalisé. Dernière étape de la série : Gestion du changement pour l'IA : les gens avant les plateformes, parce qu'un bon cadre sans adoption meurt seul.
Besoin d'un passage gouvernance minimal avant d'étendre un pilote? Échangeons — une session suffit souvent.