Selon notre enquête menée auprès de 200 PME québécoises en 2024, 78 % des employés utilisent des outils IA publics (ChatGPT, Claude, Gemini, Copilot gratuit) dans le cadre de leur travail. Dans 91 % de ces organisations, il n'existe pas de politique formelle encadrant cet usage.

Risque 1 : La fuite de données confidentielles vers des modèles publics

Lorsqu'un employé colle le contrat d'un client dans ChatGPT pour en obtenir un résumé, ces données peuvent être utilisées pour entraîner les futurs modèles d'OpenAI (selon les paramètres du compte). Pour les données couvertes par une clause de confidentialité, un accord de non-divulgation ou la Loi 25, c'est une violation potentielle.

La solution : Déployer Microsoft Copilot avec les paramètres Data Boundary configurés, ou utiliser Azure OpenAI Service — où vos données ne sont jamais utilisées pour l'entraînement des modèles Microsoft/OpenAI.

Risque 2 : Le Shadow AI — les outils que vous ne contrôlez pas

Vos employés utilisent des dizaines d'outils IA non approuvés : Otter.ai pour transcrire des réunions confidentielles, Grammarly Business (qui lit tout ce que vous écrivez), Notion AI, des extensions Chrome avec IA. La plupart de ces outils transmettent des données vers des serveurs aux États-Unis ou en Europe sans que vous le sachiez.

Risque 3 : L'hallucination appliquée à des décisions réelles

Les modèles IA peuvent générer des informations convaincantes mais factuellement fausses — c'est ce qu'on appelle une hallucination. Dans un contexte professionnel, cela se traduit par : des clauses juridiques inexactes dans un contrat, des chiffres financiers inventés dans un rapport, des instructions de conformité erronées. Sans processus de validation humaine, ces erreurs se propagent.

Risque 4 : L'ingénierie sociale augmentée par l'IA

Les cybercriminels utilisent maintenant des outils IA pour générer des courriels de phishing personnalisés, des deepfakes vocaux et vidéo imitant des dirigeants, et des chatbots d'hameçonnage capables de maintenir une conversation convaincante. La formation en sensibilisation qui suffisait en 2022 ne suffit plus en 2026.

Les éléments d'une politique IA pour PME

  • Liste des outils IA approuvés et interdits.
  • Classification des types de données qui peuvent (ou ne peuvent pas) être partagées avec des outils IA.
  • Obligation de validation humaine pour tout contenu IA destiné à des clients ou partenaires.
  • Processus de signalement pour les tentatives de manipulation IA (deepfakes, courriels suspects ultra-personnalisés).
  • Formation annuelle mise à jour sur les nouvelles tactiques d'ingénierie sociale.