Qu'est-ce que l'IA fantôme ?

L'IA fantôme désigne l'utilisation par les employés d'outils d'IA non autorisés — typiquement ChatGPT, Claude ou Gemini — sur les données de l'entreprise sans approbation du département TI ou révision de conformité. Pour les organisations canadiennes, cela crée un risque juridictionnel car ces outils traitent les données sur une infrastructure américaine assujettie au CLOUD Act.

La Loi 25 s'applique-t-elle aux employés qui utilisent ChatGPT ?

Oui. Sous la Loi 25 (art. 93), les organisations québécoises doivent compléter une Évaluation des facteurs relatifs à la vie privée avant de déployer des systèmes d'IA qui traitent des renseignements personnels. L'utilisation de ChatGPT par les employés sur des données clients ou d'employés sans EFVP constitue un écart de conformité avec des pénalités pouvant atteindre 25 M $ CA.

Les organisations canadiennes peuvent-elles utiliser des outils d'IA hébergés aux États-Unis ?

Légalement, oui — mais cela crée un fardeau de conformité important. Les transferts de données transfrontaliers requièrent une documentation additionnelle sous la Loi 25 et la LPRPDE, incluant une justification de motif légitime. Pour les entrepreneurs de défense liés par la CPCSC, les outils hébergés aux États-Unis sont effectivement interdits pour les travaux sensibles.

← Retour aux perspectives

IA fantôme

Votre équipe utilise ChatGPT sur des données réglementées — Voici pourquoi c'est un problème

L'IA fantôme représente le risque de conformité qui croît le plus rapidement dans les organisations canadiennes. Voici ce que la Loi 25, la LPRPDE et la CPCSC disent à propos de l'utilisation par les employés d'outils d'IA hébergés aux États-Unis sur des données réglementées.

Par Augure·27 janvier 2026

Data dashboard on laptop screen in modern office

Vos employés utilisent ChatGPT. Pas seulement quelques-uns — la plupart d'entre eux. Un sondage Microsoft de 2025 a révélé que 78 % des travailleurs du savoir utilisent des outils d'IA au travail, et la majorité le fait sans approbation du département TI. Pour les organisations canadiennes assujetties à la Loi 25, la LPRPDE ou la CPCSC, ce n'est pas seulement une question de gouvernance TI. C'est un passif de conformité.

L'ampleur du problème

L'IA fantôme — l'utilisation non autorisée d'outils d'IA sur les données d'entreprise — est devenue le risque de conformité qui croît le plus rapidement dans les entreprises canadiennes. Quand un employé colle un contrat client dans ChatGPT, trois choses se produisent simultanément :

Ces données quittent la juridiction canadienne et sont traitées sur l'infrastructure américaine (Microsoft Azure, région américaine)
Les données deviennent assujetties au CLOUD Act américain, qui oblige les entreprises dont le siège social est aux États-Unis à produire des données peu importe où elles sont stockées
Votre organisation n'a aucune piste d'audit, aucune documentation de consentement, et aucune Évaluation des facteurs relatifs à la vie privée pour cette activité de traitement

Pour une organisation québécoise, cela déclenche des exigences de la Loi 25 que vous n'avez probablement pas respectées. Pour un entrepreneur de défense, cela peut constituer une violation de la CPCSC.

L'IA fantôme n'est pas un problème technologique — c'est un problème juridictionnel. Chaque instruction envoyée à un outil d'IA hébergé aux États-Unis est un transfert de données transfrontalier que votre équipe de conformité ne connaît pas.

Ce que disent réellement les réglementations canadiennes

Loi 25 (Québec)

La Loi 25 (art. 93) exige que les organisations effectuent une Évaluation des facteurs relatifs à la vie privée avant d'utiliser toute technologie qui traite les renseignements personnels d'une nouvelle façon. Les outils d'IA — incluant ChatGPT — qualifient clairement. Les pénalités pour non-conformité sont des amendes administratives pouvant atteindre 25 millions $ CA ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé.

Plus crucialement, la Loi 25 exige que les organisations informent les individus quand leurs renseignements personnels sont utilisés dans la prise de décision automatisée. Si un employé utilise ChatGPT pour rédiger une évaluation de performance ou évaluer une demande client, cette obligation est déclenchée — et presque certainement non respectée.

LPRPDE (Fédéral)

Le principe de consentement de la LPRPDE (Principe 3) exige que les organisations obtiennent un consentement éclairé avant de recueillir, utiliser ou communiquer des renseignements personnels. Quand un employé envoie des données clients aux serveurs d'OpenAI, cela constitue une communication à un tiers — ce que votre avis de confidentialité ne couvre presque certainement pas.

La LPRPDE exige aussi que les organisations utilisent des moyens contractuels ou autres pour fournir un niveau comparable de protection quand les données sont transférées à un tiers (Principe 7). Les conditions de service d'OpenAI ne fournissent pas les protections que la LPRPDE envisage.

CPCSC (Défense)

Pour les entrepreneurs de défense liés par le Programme canadien de certification en cybersécurité, le calcul est plus simple. La CPCSC exige un contrôle juridictionnel sur les systèmes d'information. Les outils d'IA hébergés aux États-Unis échouent à cette exigence. Il n'y a pas d'atténuation — si vos analystes utilisent ChatGPT sur des documents d'approvisionnement, vous avez un écart de certification.

La question juridique n'est pas de savoir si les employés peuvent utiliser ChatGPT — c'est de savoir si votre organisation peut documenter, contrôler et auditer cette utilisation dans les cadres réglementaires canadiens. Pour la plupart des organisations, la réponse honnête est non.

Pourquoi bloquer ne fonctionne pas

L'instinct est de bloquer entièrement les outils d'IA. Certaines organisations ont essayé. Ça ne fonctionne pas pour trois raisons :

La pression de productivité est réelle. Les employés utilisant des outils d'IA rapportent des gains de productivité de 40 à 60 % sur les tâches de rédaction et d'analyse. Retirer cette capacité sans remplacement crée du ressentiment et des contournements.
Les RPV et appareils personnels contournent les blocages. Les restrictions au niveau réseau fonctionnent seulement sur les appareils gérés connectés aux réseaux corporatifs. Les travailleurs à distance, téléphones personnels et RPV basés sur navigateur contournent ces contrôles trivialement.
Le mal est fait. Une fois que quelqu'un découvre qu'il peut rédiger un rapport de 10 pages en 20 minutes, il ne fait pas marche arrière. La question est de savoir s'il le fait selon vos conditions ou les siennes.

L'alternative : l'IA souveraine qui fonctionne

La solution pratique n'est pas l'interdiction — c'est le remplacement. Donnez à votre équipe des outils d'IA qui sont à la fois assez capables pour l'utilisation quotidienne et assez conformes pour le travail réglementé.

C'est pour cela qu'Augure est conçu. Clavardage d'IA souveraine et base de connaissances fonctionnant entièrement sur l'infrastructure canadienne, avec des modèles construits pour le droit canadien et le contexte réglementaire québécois. Pas d'infonuagique américaine, pas d'exposition au CLOUD Act, pas de transfert de données transfrontalier à documenter.

Quand votre équipe a une alternative conforme qui est réellement bonne — bilingue, capable, rapide — l'IA fantôme devient un non-enjeu. Ils utiliseront ce qui fonctionne, et ce qui fonctionne est ce qui est devant eux.

Quoi faire cette semaine

Si vous êtes un dirigeant de conformité ou TI dans une organisation canadienne, voici trois étapes immédiates :

Auditez l'utilisation actuelle. Sondez votre équipe. Demandez directement : « Utilisez-vous ChatGPT, Claude ou d'autres outils d'IA sur les données de travail ? » La réponse sera oui. Vous devez connaître l'ampleur.
Évaluez vos obligations d'EFVP. Si vous êtes une organisation québécoise, vous avez probablement besoin d'une Évaluation des facteurs relatifs à la vie privée pour l'utilisation d'outils d'IA. Si les employés utilisent déjà ces outils, vous êtes déjà en retard.
Évaluez les alternatives souveraines. Augure offre un niveau gratuit avec accès à Tofino 2.5 — suffisant pour que votre équipe évalue si une alternative hébergée au Canada répond à leurs besoins de flux de travail quotidiens. Commencez à augureai.ca.

Le risque de conformité de l'IA fantôme n'est pas théorique. Ça se passe dans votre organisation en ce moment même. La question est de savoir si vous l'abordez de façon proactive ou attendez qu'un audit le découvre.

Augure est l'IA souveraine construite pour les organisations où la juridiction des données n'est pas optionnelle.

À propos d'Augure

Augure est une plateforme d'IA souveraine pour les organisations canadiennes réglementées. Clavardage, base de connaissances et outils de conformité — le tout sur une infrastructure canadienne.

À propos d'Augure Produits Commencer gratuitement