Un compte à rebours que peu d'organismes ont entamé
Le 19 décembre 2025, le ministre de la Cybersécurité et du Numérique publiait discrètement deux documents qui allaient transformer les obligations de tous les organismes publics québécois : une indication d'application datée du 5 décembre 2025 et un arrêté ministériel révisé daté du 3 décembre 2025. Ces textes imposent un cadre juridique contraignant à l'ensemble du secteur public québécois pour l'utilisation de l'intelligence artificielle générative.
La date limite de conformité totale : le 5 juin 2026.
Nous sommes le 23 avril. Il reste donc moins de six semaines.
Ce délai, qui pouvait sembler lointain en décembre, est désormais une urgence opérationnelle pour des milliers d'organisations. Ministères, municipalités, établissements de santé, sociétés d'État : aucun organisme assujetti à la Loi sur la gouvernance et la gestion des ressources informationnelles (LGGRI) n'y échappe. Et contrairement à de nombreuses politiques passées, il ne s'agit pas de recommandations : la non-conformité est illégale.
Ce que la directive exige concrètement
La directive couvre plusieurs obligations opérationnelles que les organismes doivent avoir documentées, implantées et approuvées avant la date limite.
Une structure de gouvernance formalisée
L'article 3 de l'arrêté impose la mise en place d'une structure de gouvernance comprenant des comités, des processus et de la documentation écrite. Cette structure doit définir les rôles et responsabilités liés à l'IA, identifier les personnes habilitées à autoriser l'utilisation de systèmes d'IA générative, et s'arrimer à la gouvernance numérique gouvernementale existante.
Aucune donnée confidentielle dans les outils d'IA publics
L'article 19 est sans ambiguïté : aucune donnée confidentielle ne peut transiter par des systèmes d'IA générative de type ChatGPT, Microsoft Copilot ou équivalents. Cette restriction s'applique aux données de santé, aux renseignements personnels, aux informations juridiques protégées et à toute donnée classifiée par l'organisme. Les établissements doivent donc avoir réalisé une classification rigoureuse de leurs actifs informationnels avant de déployer tout outil.
Formation obligatoire avant toute utilisation
L'article 11 interdit expressément l'utilisation d'un système d'IA générative par un employé qui n'a pas suivi de formation préalable sur les risques liés à ces outils. Les organismes doivent donc avoir déployé des programmes de formation documentés et vérifiés pour l'ensemble du personnel concerné.
Évaluation des facteurs relatifs à la vie privée pour chaque projet
L'article 4 impose une évaluation des facteurs relatifs à la vie privée (EFVP) pour tout projet d'IA dès sa conception, et cette évaluation doit être actualisée tout au long des phases d'expérimentation, de développement et de déploiement. Cette obligation s'aligne avec les exigences de la Loi 25, mais va plus loin en imposant une révision continue et documentée.
Un processus de gestion des risques en six étapes
La directive prescrit un cycle de gestion des risques comprenant : l'identification de tous les risques organisationnels, leur analyse, leur évaluation et priorisation, la détermination de mesures d'atténuation avec responsables et échéanciers, l'approbation formelle des résultats, et un suivi périodique. Ce n'est pas un exercice ponctuel, mais un processus continu à documenter.
L'ampleur du défi pour les organismes
Le Laboratoire de cyberjustice de l'Université de Montréal a qualifié ce cadre de "gouvernance structurée et responsable", mais a aussi souligné la charge de travail significative qu'il représente. En février 2026, son analyse notait que beaucoup d'établissements publics n'avaient pas encore entamé les travaux de mise en conformité, notamment dans les réseaux de la santé et de l'éducation.
Le portrait des utilisations de l'IA dans l'administration publique, publié en mars 2026 par le ministère, révèle que le nombre d'initiatives d'IA dans le secteur public québécois a augmenté de plus de 50 % entre 2024 et 2025. Cette accélération rend la conformité d'autant plus urgente : plus un organisme déploie d'outils, plus il doit documenter, évaluer et gouverner.
Les municipalités font face à un défi particulier. Contrairement aux grands ministères qui disposent de directions informatiques étoffées, de nombreuses municipalités québécoises n'ont pas de responsable de la protection des renseignements personnels dédié ni de ressources spécialisées en gouvernance de l'IA. Le guide publié par la firme Activis pour les municipalités québécoises souligne que ces organismes devront souvent faire appel à des ressources externes pour répondre aux exigences d'ici juin.
Trois questions que les dirigeants doivent se poser maintenant
À six semaines de l'échéance, voici le diagnostic minimal qu'un dirigeant d'organisme public québécois doit pouvoir répondre :
1. Avons-nous une structure de gouvernance IA approuvée et documentée ? Si la réponse est non ou en cours, c'est la priorité absolue. Sans gouvernance formalisée, aucune autre exigence ne peut être satisfaite de façon crédible.
2. Nos employés ont-ils tous été formés avant d'utiliser des outils d'IA générative ? L'absence de formation documentée constitue une violation directe de l'article 11. Un registre de formation par employé est la preuve attendue.
3. Avons-nous réalisé des EFVP pour chaque système d'IA en opération ou en développement ? Si des outils sont déjà déployés sans EFVP, l'organisme est en violation actuelle, pas seulement future.
Une directive qui s'inscrit dans un mouvement plus large
La directive québécoise ne sort pas du néant. Elle s'inscrit dans un mouvement de réglementation sectorielle de l'IA qui gagne en précision dans plusieurs administrations. En décembre 2025, le Québec devenait l'une des premières administrations au monde à imposer par voie d'arrêté ministériel des obligations opérationnelles spécifiques à l'IA générative pour l'ensemble de son secteur public.
À l'échelle fédérale, la situation est différente : faute d'une loi sur l'IA depuis l'échec du projet de loi C-27 en janvier 2025, le Canada s'appuie encore sur des orientations volontaires et les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour le secteur privé. Le ministre Evan Solomon a indiqué qu'une nouvelle approche législative sera proposée en 2026, mais rien n'est encore tabled.
Le Québec, dans ce contexte, fait figure de précurseur. La contrainte du 5 juin 2026 n'est pas qu'une date administrative : elle représente le premier test grandeur nature de la volonté du gouvernement québécois de faire respecter sa vision d'une utilisation responsable de l'IA dans l'État.
Sources
- Gouvernement du Québec, Obligations et encadrement de l'intelligence artificielle : https://www.quebec.ca/gouvernement/services-organisations-publiques/services-transformation-numerique/reussir-sa-transformation-numerique/accompagnement-des-organismes-publics/intelligence-artificielle-dans-ladministration-publique/obligations-et-encadrement-de-lintelligence-artificielle
- Gouvernement du Québec, Portrait des utilisations de l'IA dans l'administration publique : https://www.quebec.ca/gouvernement/numerique/intelligence-artificielle-administration-publique/portrait
- Laboratoire de cyberjustice, L'IA générative dans le secteur public québécois (24 février 2026) : https://cyberjustice.openum.ca/2026/02/24/lia-generative-dans-le-secteur-public-quebecois-vers-une-gouvernance-structuree-et-responsable/
- Collimateur UQAM, Le Québec réglemente l'IA dans le secteur public : https://collimateur.uqam.ca/collimateur/le-quebec-reglemente-lia-dans-le-secteur-public/
- Activis, Arrêté IA Québec 2025 : Guide pour les municipalités : https://activis.ca/intelligence-artificielle-municipalites-quebec-guide/
- École branchée, Gouvernance de l'IA : Québec publie de nouvelles lignes directrices : https://ecolebranchee.com/gouvernance-ia-quebec-nouvelles-lignes-directrices/
