« Nos données sont-elles en sécurité avec l'IA? » — c'est souvent la deuxième question, juste après « combien ça coûte? »
Et c'est la bonne question. Brancher un outil d'IA sur vos courriels, contrats, plans ou données clients sans cadre, c'est prendre un risque inutile. Ici, je réponds à la préoccupation concrète : l'IA et vos données d'affaires — pas la théorie, mais ce qu'une PME peut vérifier avant un pilote.
En bref
- Le risque principal n'est pas l'IA en soi — c'est où vont vos données et qui y a accès
- Les outils grand public ≠ solutions entreprise avec contrôles
- Un cadre simple suffit : classification, périmètre, validation humaine, traçabilité
- Un bon pilote IA peut être plus sécurisé qu'un processus actuel (courriels non chiffrés, clés USB, notes dispersées)
Où le risque se crée vraiment
| Situation | Niveau de risque | Pourquoi |
|---|---|---|
| Employé colle un contrat client dans un outil grand public | Élevé | Données peuvent servir à l'entraînement ou être stockées hors contrôle |
| Pilote sur documents internes non sensibles, outil entreprise | Modéré | Périmètre limité, contrats clairs |
| Flux avec données classifiées, hébergement Canada, MFA, journalisation | Faible (si bien configuré) | Contrôles alignés sur vos politiques existantes |
Le problème le plus fréquent que je vois n'est pas un piratage spectaculaire. C'est un contournement bien intentionné : quelqu'un veut gagner du temps et envoie des données sensibles dans le mauvais outil.
Les cinq questions à poser avant tout pilote
- Quelles données entrent dans le flux? (Internes seulement? Données personnelles? Secrets commerciaux?)
- Où sont-elles traitées et stockées? (Région, fournisseur, sous-traitants)
- Sont-elles utilisées pour entraîner un modèle? (La réponse doit être non pour un usage entreprise)
- Qui a accès et comment authentifie-t-on? (Comptes individuels, MFA, pas de partage de mot de passe)
- Que se passe-t-il en cas d'incident? (Notification, suppression, journaux)
Si un fournisseur ou un intégrateur ne répond pas clairement à ces questions, ce n'est pas le bon moment pour un pilote à données réelles.
Ce qu'un cadre minimal ressemble en PME
Pas besoin d'un manuel de 80 pages pour commencer :
- Classer — vert (interne, pilote OK), jaune (données personnelles — règles strictes), rouge (interdit sans revue juridique)
- Approuver — liste d'outils autorisés ; pas de « bring your own AI » sans gouvernance
- Valider — humain dans la boucle (HITL) avant toute diffusion externe : une personne nommée approuve avant que quoi que ce soit ne quitte l'organisation
- Documenter — qui fait quoi, quelle donnée circule, où elle est archivée
- Former — 30 minutes de sensibilisation vaut plus qu'une politique ignorée
Exemple : audit express avant pilote
Une firme d'architecture (22 personnes) a fait un audit de 90 minutes avant de lancer un pilote de synthèse de notes de réunion :
| Question | État avant | Action |
|---|---|---|
| Où vont les transcriptions? | Courriels personnels, 3 outils différents | Un outil entreprise, tenant Canada |
| Comptes | 1 compte partagé « IA firme » | Comptes individuels + MFA |
| Données dans le pilote | Non classifiées | Vert seulement — réunions internes |
| Revue avant envoi | Variable | Réviseur nommé, checklist 5 points |
| Entente fournisseur | Absente sur l'outil consommateur | Entente entreprise signée |
Résultat : pilote lancé en 10 jours au lieu de 6 semaines de blocage « sécurité vs innovation ». Aucun incident en 12 semaines ; l'équipe TI a pu étendre la liste d'outils approuvés parce que le cadre existait.
L'IA peut améliorer la sécurité (si on structure)
Ironiquement, un flux IA bien cadré remplace parfois des pratiques plus risquées :
- Notes de réunion dans des courriels non chiffrés → transcription dans un espace contrôlé
- Copies papier ou clés USB → archivage central avec permissions
- « Je me souviens de ce qu'on a dit » → trace écrite validée
La sécurité n'est pas l'ennemi de l'IA. C'est le prérequis pour qu'une équipe lui fasse confiance.
Loi 25 et IA : ce que les dirigeants québécois doivent savoir
La Loi 25 exige transparence, minimisation et protection des renseignements personnels. L'IA ne crée pas une exemption — au contraire, elle amplifie le volume de données traitées. Pour un pilote :
- Limiter les renseignements personnels au strict nécessaire
- Documenter la finalité du traitement
- Vérifier les ententes avec les fournisseurs (sous-traitants, transferts hors Québec si applicable)
Je ne suis pas avocat ; pour les cas sensibles, impliquez votre conseiller juridique tôt — pas après le déploiement.
Signaux d'alarme
- « On ne sait pas où vont les données, mais c'est pratique »
- Un seul compte partagé pour toute l'équipe
- Aucune relecture humaine avant envoi client
- Outil non listé dans les contrats ou politiques de l'organisation
- Pression pour « aller vite » sans cadre
Où vous en êtes
Vous progressez dans Gouverner et faire durer — confidentialité et outils approuvés. Prochaine étape : Gouvernance IA pour PME : un cadre minimal qui fonctionne, pour formaliser outils, données, rôles, revue et escalade en une page.
La sécurité des données avec l'IA, ce n'est pas « tout ou rien ». Si vous hésitez à lancer un pilote par crainte des données, parlons-en — on peut souvent démarrer sur un cas interne à faible risque.