Vos employés utilisent déjà ChatGPT : le risque Loi 25 caché
Par Xavier PeichUn employé colle une liste de clients dans ChatGPT pour aller plus vite. C'est l'IA fantôme, et c'est un risque Loi 25 réel. Voici pourquoi, et quoi faire.
Le 1er mai 2026, La Presse titrait que votre recours à l'IA au boulot pourrait être illégal. Pas dans dix ans. Maintenant. La manchette a fait le tour des réunions de direction, et pour de bonnes raisons.
Mais le vrai problème n'est probablement pas l'agent IA que votre équipe TI évalue depuis six mois. C'est ce qui se passe déjà, discrètement, sans mauvaise intention : un employé colle une liste de clients dans la version gratuite de ChatGPT pour rédiger un courriel de relance. Une autre colle un contrat fournisseur pour en faire un résumé. Un troisième exporte une feuille de contacts et la glisse dans un outil d'IA pour préparer une présentation.
C'est ce qu'on appelle l'« IA fantôme » (ou shadow AI). Et c'est exactement le scénario que visait la manchette.
Cet article fait partie d'une série sur les obligations Loi 25 pour les PME qui déploient des agents IA. Ici, on se concentre sur le risque le plus courant et le moins visible : vos employés qui utilisent déjà des outils d'IA publics avec des données qui ne devraient pas y être.
La réponse courte, pour les pressés
L'usage informel de ChatGPT par vos employés est un risque Loi 25 pour trois raisons concrètes. D'abord, les renseignements personnels que vos employés y collent quittent votre contrôle : vous ne décidez plus où ils vont, combien de temps ils restent, ni ce qu'OpenAI en fait. Ensuite, ces données sortent du Québec, ce qui déclenche une obligation d'évaluation que personne n'a faite. Enfin, le consentement que vos clients vous ont donné ne couvre pas l'usage de leurs informations dans un outil d'IA grand public. En Loi 25, l'employeur reste responsable des renseignements personnels qu'il détient, peu importe quel outil un employé a utilisé. Le problème est structurel, pas une question de mauvaise foi. La solution passe par une voie rapide qui soit aussi une voie conforme : un agent encadré branché à vos outils, doublé d'une politique d'usage claire.
Pourquoi ça brise la Loi 25, précisément
La Loi 25, c'est le surnom de la loi qui a modernisé la protection des renseignements personnels dans le secteur privé au Québec (formellement, la loi P-39.1). Ses obligations les plus importantes pour l'IA sont en vigueur depuis le 22 septembre 2023. Elles s'appliquent à toute entreprise qui détient des renseignements personnels, sans seuil de taille. Une PME de quinze personnes a les mêmes obligations qu'une grande banque.
Trois mécanismes s'enclenchent quand un employé colle des données dans ChatGPT.
Les données quittent votre contrôle
La Loi 25 vous tient responsable des renseignements personnels que vous détenez. Quand un employé les transfère dans un outil que vous ne contrôlez pas, vous perdez la capacité de répondre aux obligations qui suivent : rectifier, effacer sur demande, expliquer comment l'information est utilisée. La responsabilité ne disparaît pas pour autant. Elle reste sur vos épaules, même si vous ne contrôlez plus rien.
Les données sortent du Québec
C'est le point que beaucoup de dirigeants manquent. Le seuil de la Loi 25 n'est pas « hors Canada ». C'est « hors Québec ». Les serveurs d'OpenAI sont aux États-Unis. Dès qu'une information personnelle est communiquée à l'extérieur de la province, la loi exige une évaluation préalable et la démonstration que l'information bénéficiera d'une protection adéquate. On détaille ce mécanisme dans l'article sur les transferts de données hors Québec et les agents IA. Personne n'a fait cette évaluation pour les sessions ChatGPT du midi.
Le consentement de vos clients ne couvre pas ça
L'article 14 de la Loi 25 exige que le consentement à l'utilisation de renseignements personnels soit « manifeste, libre, éclairé et donné à des fins précises ». Vos clients ont consenti à ce que vous utilisiez leurs informations pour leur rendre le service convenu. Ils n'ont pas consenti à ce que ces informations soient traitées par un modèle d'IA grand public, potentiellement utilisées pour entraîner un modèle futur, et stockées sur des serveurs dont vous ne connaissez pas l'adresse. Même si aucune mauvaise intention n'existe, le consentement n'est pas là.
Un problème de structure, pas d'intention
La manchette de La Presse pouvait laisser croire qu'il y avait des employés à réprimander. Il n'y en a pas. Vos collègues essaient de finir leur journée plus vite avec les outils qu'ils ont sous la main. ChatGPT est gratuit, ouvert dans un onglet, et franchement utile pour reformuler un courriel ou résumer un contrat de vingt pages. Si personne ne leur a donné d'alternative encadrée, c'est la seule voie rapide qu'ils voient. Ils la prennent.
Une politique qui dit « ne jamais utiliser l'IA avec des données clients » sans offrir de remplacement va tenir deux semaines, le temps que la pression de livraison reprenne. Vous aurez le document, pas la conformité.
Les sanctions : ce que la CAI peut faire
La Commission d'accès à l'information (la CAI) est l'organisme qui applique la Loi 25. Depuis 2023, elle peut imposer des sanctions directement, sans passer par les tribunaux. Les montants peuvent atteindre le plus élevé de 10 millions de dollars ou 2 % de votre chiffre d'affaires mondial. Au pénal, devant les tribunaux, les amendes peuvent atteindre le plus élevé de 25 millions ou 4 % du chiffre d'affaires mondial, et viser personnellement les dirigeants.
Pour une PME, le risque réaliste n'est pas l'amende à sept chiffres. C'est la plainte d'un client ou d'un ancien employé qui mène à une enquête, avec tout ce que ça implique en temps, en frais juridiques, et en réputation. La CAI a renforcé ses ressources d'inspection et les plaintes sont en hausse. Le contexte a changé.
La solution : une voie rapide qui soit aussi une voie conforme
Le problème de l'IA fantôme est fondamentalement un problème d'offre. Vos employés cherchent la voie la plus rapide pour accomplir leur travail. Si la voie rapide est un outil public non encadré, c'est là qu'ils vont. La solution est de faire en sorte que la voie rapide soit aussi la voie conforme.
Concrètement, ça prend deux choses.
Un agent sur mesure, branché aux bons outils. Un agent configuré pour votre entreprise peut faire tout ce que vos employés cherchent à faire avec ChatGPT, mais avec des garde-fous intégrés : il ne reçoit que les données nécessaires, il tourne dans un environnement que vous contrôlez, les informations ne servent pas à entraîner un modèle public, et les transferts hors Québec sont documentés et évalués. La différence entre un outil grand public et un agent sur mesure tient à la gouvernance autant qu'à la performance. On l'explique en détail dans Quelle est la différence entre un agent IA et ChatGPT ?.
Une politique d'utilisation d'une page. Pas un document de cinquante pages que personne ne lit. Une page claire : quels outils sont autorisés, lesquels sont interdits avec des données clients, quoi faire quand on hésite. Ça prend quelques heures à rédiger, et ça devient la référence lors de l'intégration de nouveaux employés. La politique sans l'agent ne suffit pas, mais l'agent sans la politique non plus. Les deux ensemble forment un système qui se tient.
Par où commencer, ce lundi
Trois gestes, dans l'ordre.
D'abord, faites l'inventaire honnête. Demandez à vos équipes quels outils d'IA ils utilisent déjà, comment, et avec quelles données. Pas pour les blâmer : pour comprendre où est le risque réel. L'IA fantôme est presque toujours présente. Mieux vaut la cartographier que la découvrir dans une plainte.
Ensuite, identifiez les deux ou trois tâches où l'usage informel est le plus fréquent, celles où vos employés recourent systématiquement à ChatGPT ou à un autre outil public. Ce sont les cas prioritaires pour un agent encadré.
Enfin, rédigez une politique courte pour couvrir l'intervalle. Même une page qui dit « voici les outils autorisés, voici ceux qui sont interdits avec des données clients, voici à qui poser une question » réduit l'exposition pendant que l'agent est en développement.
Si vous voulez en parler pour votre situation précise, la première conversation est gratuite. 30 minutes pour regarder ce qui se passe déjà dans vos équipes, identifier les cas à risque, et voir si un agent sur mesure est la bonne réponse.
→ Première conversation, sans engagement
Ce texte est une vulgarisation pour aider une PME à poser les bonnes questions, pas un avis juridique. Pour toute situation impliquant des renseignements sensibles ou une décision importante, consultez un conseiller juridique. La Commission d'accès à l'information et les textes de loi disponibles sur LégisQuébec sont les sources qui priment.
Écrit par