Essayez l'outil gratuitement

Essayer
Gouvernance
Veille6 min de lecture

Shadow IA au Québec : Loi 25, CLOUD Act et risques pour les employeurs

Le shadow IA, c'est-à-dire l'usage d'outils d'IA générative non autorisés par 82 % des employés, expose les employeurs québécois à des sanctions de la Loi 25 et à un conflit juridique avec le CLOUD Act américain en 2026.

FB
Florian Brobst
Fondateur & Directeur · 28 mai 2026

Le shadow IA (intelligence artificielle de l'ombre) désigne l'utilisation par les employés d'outils d'IA générative comme ChatGPT, Gemini ou Claude sans autorisation explicite de leur employeur. En mai 2026, cette pratique concerne 82 % des employés mondialement selon la Cloud Security Alliance et expose les organisations québécoises à des sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial sous la Loi 25 (RLRQ c P-39.1), pleinement en vigueur depuis septembre 2023.

Le phénomène s'amplifie avec la diffusion grand public des assistants conversationnels. Selon une enquête publiée par La Presse le 1er mai 2026, transmettre des données clients à un outil d'IA externe sans analyse préalable peut suffire à constituer une entorse à la Loi 25, et la Commission d'accès à l'information (CAI) annonce une transition de sa phase pédagogique vers des sanctions concrètes à compter de 2026.

Qu'est-ce que le shadow IA et pourquoi il préoccupe la CAI ?

Le shadow IA recouvre tout usage professionnel d'un outil d'IA générative sans validation par les services TI ou de conformité. Selon le sondage MIT relayé par HUBBVEE en mai 2026, plus de 90 % des entreprises ont des employés qui utilisent des comptes personnels d'IA pour leurs tâches quotidiennes, alors que seulement 40 % des organisations fournissent des outils officiels. Le rapport Zscaler de 2026 documente 3 400 applications d'IA recensées en entreprise, un quadruplement en douze mois.

La CAI considère que la transmission de renseignements personnels de Québécois à un service d'IA tiers déclenche l'obligation d'analyse d'impact algorithmique prévue à l'article 12.1 de la Loi 25 sur les décisions automatisées et à l'article 3.3 sur les évaluations des facteurs relatifs à la vie privée (EFVP) pour toute communication hors Québec.

Les 5 obligations clés de l'employeur québécois face au shadow IA

  1. Évaluation préalable : réaliser une EFVP avant tout déploiement d'un système d'IA traitant des renseignements personnels, conformément à l'article 3.3 de la Loi 25.
  2. Analyse d'impact algorithmique distincte : la CAI recommande depuis mars 2026 une analyse séparée pour les outils d'IA utilisés en gestion des ressources humaines, distincte de l'EFVP générale.
  3. Transparence : informer les employés et les personnes concernées de l'usage d'outils d'IA, conformément à l'article 8 de la Loi sur la protection des renseignements personnels dans le secteur privé.
  4. Consentement éclairé : obtenir un consentement spécifique pour la collecte de données biométriques ou la prise de décisions exclusivement automatisées (article 12.1).
  5. Politique interne et formation : déployer une charte d'usage de l'IA et former le personnel, sous peine d'être qualifié de négligent en cas d'incident.

Selon le cabinet OLS Avocats (mise à jour de mai 2026), l'absence de ces mesures suffit à engager la responsabilité civile de l'employeur même si la fuite découle d'un acte individuel non autorisé.

En quoi le CLOUD Act américain entre-t-il en conflit avec la Loi 25 ?

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adopté par le Congrès américain en mars 2018, autorise les autorités fédérales américaines à exiger des fournisseurs de services basés aux États-Unis la communication de données stockées à l'étranger, y compris au Québec. La Loi 25, à l'inverse, exige une analyse de risque préalable et la garantie que les renseignements personnels québécois bénéficient d'une protection équivalente à celle prévue au Québec.

Selon les données reprises par HUBBVEE en mai 2026, 85 % des solutions infonuagiques des organismes publics québécois sont hébergées chez des fournisseurs américains soumis au CLOUD Act, ce qui crée un conflit de juridiction structurel. OpenAI (ChatGPT), Google (Gemini) et Anthropic (Claude) sont tous des entités américaines, donc directement visées.

Quels sont les sanctions et risques concrets pour les organisations en 2026 ?

La Loi 25 prévoit deux paliers de sanctions, codifiés aux articles 90 et 91 de la Loi sur la protection des renseignements personnels dans le secteur privé : des sanctions administratives pécuniaires jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et des sanctions pénales jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

Au-delà des amendes, les risques incluent : actions civiles privées (article 93.1 permettant des dommages-intérêts punitifs), perte de couverture cyberassurance (les assureurs excluent désormais les usages d'IA non documentés), atteinte réputationnelle et perte d'avantage concurrentiel en cas de divulgation forcée de données stratégiques sous CLOUD Act.

La CAI a confirmé, dans son bilan diffusé en 2026, qu'aucune sanction n'avait encore été imposée pour shadow IA, mais que le rapport quinquennal 2026, attendu en cours d'année, devrait préciser les seuils déclencheurs.

Questions fréquentes

Le shadow IA est-il interdit par la Loi 25 ?

Non, la Loi 25 n'interdit pas l'IA générative en soi. Elle interdit la transmission de renseignements personnels sans analyse d'impact ni transparence. Un employé qui demande à ChatGPT de résumer un dossier client sans avoir caviardé les données nominatives engage la responsabilité de son employeur sous les articles 3.3 et 12.1 de la Loi 25.

Quelle est la première sanction concrète de la CAI en 2026 ?

Au 28 mai 2026, la CAI n'a publié aucune sanction définitive pour usage non autorisé d'IA générative. Elle privilégie une approche pédagogique, avec ordonnances de mise en conformité et publication des cas problématiques. Le rapport quinquennal 2026 doit préciser le passage à des sanctions financières.

Le CLOUD Act peut-il forcer la divulgation de données québécoises ?

Oui. Le CLOUD Act américain (2018) permet au Department of Justice d'exiger d'OpenAI, Google ou Anthropic la remise de toute donnée stockée par ces entreprises, même hébergée au Canada. Cette divulgation forcée contrevient à la Loi 25 et constitue un risque structurel pour les organisations utilisant ces services sans contrôle.

Quels outils d'IA recommander pour rester conforme ?

La CAI recommande, dans son avis de mai 2026 sur l'IA en RH, de privilégier des solutions hébergées en juridiction québécoise ou canadienne, des versions entreprise avec contrats de traitement et engagement de non-conservation des données, et des outils intégrant des mécanismes de masquage automatique des renseignements personnels.

Sources

Tags :#shadow ia#loi 25#cloud act#employeurs#cai#gouvernance ia
Partager :
FB
Florian Brobst
Fondateur & Directeur

Spécialiste en gouvernance de l’intelligence artificielle, Florian accompagne les organisations dans la mise en place de cadres de gouvernance responsables et conformes aux réglementations émergentes.

Articles similaires

Veille27 mai 2026

Banque du Canada : l'IA devient un axe de stabilité financière

Veille26 mai 2026

Québec finance 18 projets IA et quantique avec 17,8 M$ en mai 2026

Veille25 mai 2026

Paradoxe canadien de l'IA : 3 G$ investis, exode des entreprises en mai 2026

Restez informé

Abonnez-vous à notre infolettre pour ne rien manquer.

Nous contacter

Ce site utilise des cookies essentiels et fonctionnels pour améliorer votre expérience. Politique de confidentialité