Gouvernance IA pour PME : un cadre minimal qui fonctionne

« Il nous faut une politique IA » veut souvent dire « un PDF de 40 pages que personne ne lira ». Les PME ont besoin de moins — cinq décisions que tout le monde comprend.

La gouvernance n'est pas de la bureaucratie pour elle-même. C'est comment capturer les bénéfices de l'IA sans outils parallèles, fuites de données ou crise de confiance après un mauvais courriel client. J'ai aidé des organisations de 15 à 500 personnes à adopter un cadre minimal en jours, pas en mois.

En bref

• Cinq piliers : outils, données, rôles, revue, escalade
• S'aligner sur les habitudes sécurité et vie privée existantes
• Québec : lier à la Loi 25 et à la sécurité des données
• Revoir trimestriellement

Pilier 1 — Outils approuvés

À faire	À éviter
Liste courte d'outils vérifiés avec entente entreprise	Laisser chaque employé choisir des apps gratuites
Documenter pourquoi (données, région)	Supposer « Microsoft/Google = sécurisé » sans config
Décourager les téléversements non approuvés	Ignorer le shadow IT parce que « ça avance »

Une page : nom, usage approuvé, classes de données, responsable.

Pilier 2 — Classification des données

Même feu tricolore que sécurité IA :

• Vert — brouillons internes, synthèses non sensibles
• Jaune — renseignements personnels, contrats, finances — règles strictes
• Rouge — pas d'IA sans avis juridique/sécurité

Chaque proposition de pilote indique sa classe avant test.

Pilier 3 — Rôles et responsabilité

Des personnes nommées, pas des comités :

• Commandite direction — ton, déblocage
• Responsable pilote — quotidien, indicateurs, formation
• TI ou sécurité — accès, journalisation, fournisseur
• Utilisateurs — règles, signalement sans blâme

L'ambiguïté mène au « c'est l'IA qui a envoyé » — donc à personne.

Pilier 4 — Revue humaine

Toujours approuver humainement avant usage externe :

• Courriels et livrables clients
• Soumissions, prix, langage juridique
• Tout dérivé de données jaune/rouge

Les brouillons internes peuvent être plus légers — mais humain dans la boucle reste essentiel.

Pilier 5 — Escalade

En cas d'erreur — mauvais destinataire, extrait fuité, fait inventé :

1. Arrêter le flux
2. Aviser commandite + sécurité
3. Documenter (quoi, quand, quel outil)
4. Corriger le processus avant de blâmer

Une escalade sans blâme bat une culture de contournement caché.

Contenu de la politique d'une page

1. Finalité — IA en appui, pas en remplacement de la responsabilité
2. Outils + classes de données
3. Règles de revue
4. Lien formation (30 min sensibilisation)
5. Contact questions
6. Date de révision

Suffisant pour adopter progressivement.

La gouvernance accélère (contre-intuitivement)

Sans règles, chacun va vite seul — l'organisation stagne après un incident. Des garde-fous clairs permettent d'étendre les pilotes parce que la direction sait ce qui se passe.

Signaux de sous-gouvernance

• « On utilise ChatGPT » sans entente entreprise
• Aucune liste de ce qui est permis dans les prompts
• Livrables clients sans second regard
• TI découvre l'IA via une facture, pas un plan

Pour aller plus loin

• Nos données en sécurité?
• L'IA au Québec
• Humain dans la boucle

Besoin d'un passage gouvernance minimal avant d'étendre un pilote? Échangeons — une session suffit souvent.