Si l’usage sauvage de l’intelligence artificielle présente des risques pour la vie privée des personnes, il faut savoir raison garder pour ne pas tomber dans le sensationnnalisme.
J’ai découvert ce matin, dans le journal La Presse, l’article suivant :
Entorse possible à la loi 25 | Votre recours à l’IA au boulot pourrait être illégal
Certes, il y a de vrais risques dans ce domaine. Mais ici, le chroniqueur techno de La Presse, Alain McKenna, raconte n’importe quoi !
Tout d’abord, je passerai sur le sensationnalisme de ((((( l’IA fantôme ))))). Tremblez braves gens ! Autrement dit, tout employé qui utilise Claude, ChatGPT ou Gemini au travail est un délinquant en puissance.
On nous a fait le même coup il y a 15 ans avec l’infonuagique sauvage. On nous disait que le monde allait s’écrouler ! Finalement, le Shadow IT a forcé les services de TI des organismes à se bouger les fesses pour se mettre à la page, ce qui a permis d’accroître la productivité desdits organismes.
Ensuite, cet article est un nouvel exemple flagrant de spécialistes de sécurité de l’information qui ne comprennent rien à ce qu’est la protection des renseignements personnels (PRP). Je cite l’auteur de l’article :
Selon la Cloud Security Alliance, un organisme à but non lucratif dévoué aux bonnes pratiques informatiques, quatre employés sur cinq (82 %) dans le monde pratiquent une forme d’IA fantôme. Presque la moitié de ceux-ci partagent avec l’IA des renseignements confidentiels de leur employeur ou de ses clients, ce qui est un problème majeur.
L’auteur a tout simplement confondu renseignements personnels confidentiels et renseignements confidentiels en contexte d’entreprise. Certains renseignements confidentiels fournis à l’IA sont des renseignements personnels. Et d’autres sont des informations confidentielles d’entreprise. Il faudrait voir à ne pas confondre les deux avant de parler de la ((((( Loi 25 ))))) !
D’ailleurs, la Cloud Security Alliance a repris les données du Cyberhaven AI Risk Report 2026 (Cyberhaven-AI-Risk-Report-2026.pdf), que je cite ci-après (p.15) :
A concerning amount – 39.7% of all interactions with AI tools – involve sensitive data, including prompts or copy-paste actions. That means the average employee enters sensitive data into AI tools once every three days. The data comes from multiple parts of the business, not just isolated workflows:
– Sales and go-to-market data: mid-teens percentage of AI bound data globally and nearly 30% of what sales teams send into AI
– Research and R&D content: the dominant category in industries like healthcare, where about one-third of AI-bound data is research-related
– Technical and other controlled assets: source code, internal project data, and sensitive categories like health records that traditionally require tight controls.
Deux remarques :
- Ce ne sont donc pas 40% des employés, mais 40% des interactions avec l’IA. Nuance.
- Ce ne sont pas 40% des interactions qui concernent des renseignememts personnels confidentiels dans les IA. Loin s’en faut !
Donc, pour « le Shadow AI, fossoyeur de la vie privée !!! », on est prié de repasser avec des arguments plus probants.
Le choniqueur poursuit :
Ça devient un enjeu légal si cet emploi de l’IA se fait à l’insu de l’employeur.
Non, ça devient déjà un enjeu légal si le traitement de renseignements personnels via IA se fait au vu et au su de l’employeur, mais que l’entreprise n’a pas effectué préalablement une évaluation des facteurs relatifs à la vie privée (ÉFVP). Ou qu’elle a fait une ÉFVP et qu’elle fait quand même n’importe quoi avec les renseignements personnels.
« Quand un employé ou un groupe d’employés recourt à l’IA fantôme et transmet des données qui concernent des clients à un agent d’IA comme ChatGPT, sans autorisation explicite, l’entreprise est passible d’une amende », résume Nick Dooley, fondateur et PDG de The Altercation Company, une jeune pousse canadienne qui a lancé en début d’année une IA souveraine hébergée à Montréal et appelée Augure AI.
Toute information du client n’est pas nécessairement un renseignement personnel confidentiel au sens de la loi. L’entreprise risque une amende sur le fondement de la « Loi 25 » seulement si les informations du client transmises à l’IA sont des renseignements personnels confidentiels. Donc, on évite la généralisation, merci.
« La loi 25, continue Nick Dooley, requiert des entreprises qu’elles procèdent à une analyse du risque concernant les données personnelles des résidents du Québec quand elles sont transmises à des services informatiques externes, comme les applications d’IA d’OpenAI (ChatGPT), Google (Gemini) et Anthropic (Claude). »
Nick Dooley est là pour vendre sa salade de serveurs au Québec. Il ne faut pas s’attendre à ce qu’il soit précis ou exact sur des aspects connexes de PRP. En effet, si les serveurs de l’IA sont au Québec, chez des compagnies québécoises, tout n’est pas réglé pour autant. C’est ce que l’entreprise fait avec les renseignements personnels qui importe d’abord.
Si un employé traite des renseignements personnels par IA, c’est… un traitement de renseignements personnels ; et il doit y avoir une évaluation préalable de conformité de ce traitement, et une ÉFVP. Le fait que ça se fasse sous Gemini ou Claude (domiciliés aux USA) est un autre aspect du traitement, qui nécessite un complément d’évaluation dans l’ÉFVP.
Comme l’IA fantôme se fait à l’insu des responsables informatiques, s’il y a échange de renseignements personnels avec une IA, il n’est pas impossible que cela contrevienne à la loi 25.
Et si ma tante en avait, il n’est pas impossible qu’on l’appelle « mon oncle ».
« L’entreprise ne peut pas déterminer le risque d’une pratique faite à son insu. Elle est donc passible d’une amende. » – Nick Dooley, PDG de The Altercation Company
En revanche, l’entreprise doit informer ses employés qu’il leur est interdit de faire du Shadow AI. Et que s’ils passent outre, ils engagent leur responsabilité civile (voire pénale). Si l’employeur n’est pas rassuré, il doit prendre des dispositions pour empêcher ses employés d’utiliser les IA (blocage de sites web, règles dans les pare-feux ou les SIEM…). Et il doit s’assurer que les contrevenants soient punis disciplinairement. Si on ne dissuade pas les employés, il ne faut pas espérer que ça va s’arranger tout seul.
À la fin du texte, ce que dit le Pr Vincent Gautrais est très juste. Mais c’est bien loin des considérations spécifiques et spécieuses du reste de l’article.
À propos de Arnaud Palisson
Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.