Vos employés utilisent l'IA.
Vos données, elles, voyagent.

Imaginez un de vos employés qui, un lundi matin, ouvre ChatGPT pour rédiger plus vite un compte-rendu de réunion. Il y colle les noms des clients présents, quelques chiffres financiers, peut-être une décision stratégique. Cinq minutes plus tard, il clôt sa session, satisfait. Ce qu'il ignore : ces données viennent de quitter votre organisation, de traverser des frontières, et d'alimenter potentiellement l'entraînement du prochain modèle d'OpenAI. Sans consentement. Sans avis. Et peut-être en contravention directe avec la Loi 25.

Ce scénario n'est pas hypothétique. Il se produit en ce moment même dans vos équipes, dans celles de vos fournisseurs, dans les administrations qui vous entourent. Selon la Cloud Security Alliance, citée par La Presse, quatre employés sur cinq (82 %) dans le monde pratiquent une forme d'IA fantôme — c'est-à-dire l'utilisation d'outils d'intelligence artificielle sans autorisation explicite de leur organisation.

Ce rapport est un signal d'alarme que les dirigeants ne peuvent plus ignorer. À la tête d'une municipalité, d'une PME ou d'un OBNL, vous êtes personnellement responsable des renseignements personnels que votre organisation collecte, traite et confie à des tiers — y compris des tiers que vos employés utilisent à votre insu.

Que font vraiment ces IA avec vos données ?

Tous les grands modèles de langage (LLM) fonctionnent selon le même principe : vous leur soumettez du texte (une question, un document, une demande), ils génèrent une réponse. Ce que les interfaces grand public ne disent pas clairement, c'est ce qui se passe avec votre texte une fois envoyé.

Trois enjeux fondamentaux se posent pour toute organisation :

• Entraînement des modèles — selon la plateforme et la formule (gratuite, individuelle, entreprise), vos conversations peuvent être réutilisées pour améliorer le modèle, exposant potentiellement vos données dans de futures réponses à d'autres utilisateurs.
• Hébergement américain et CLOUD Act — les données transitent et sont stockées sur des serveurs détenus par des entreprises américaines. La loi américaine CLOUD Act de 2018 autorise le gouvernement des États-Unis à exiger l'accès à ces données, même quand elles sont physiquement hébergées au Canada.
• Rétention prolongée — selon les politiques publiées par chaque éditeur, vos échanges peuvent être conservés de 30 jours à plusieurs années.

Les 4 grandes plateformes au banc d'essai

Voici ce que chaque grand acteur dit — et ne dit pas — du traitement de vos données.

ChatGPT (OpenAI) — l'incontournable qui collecte large

OpenAI précise dans sa politique de confidentialité que les conversations des versions gratuites et payantes individuelles peuvent être utilisées pour entraîner ses modèles, sauf opposition explicite de l'utilisateur. L'opt-out existe, mais il est peu visible. En janvier 2025, l'autorité italienne de protection des données (Garante) a infligé une amende de 15 millions d'euros à OpenAI pour violation du RGPD. En version Teams ou Enterprise, les données ne sont pas utilisées pour l'entraînement — mais cela suppose un contrat actif et une configuration correcte.

Claude (Anthropic) — le mieux structuré, mais pas exempt de risques

Selon une analyse comparative 2026, Claude est considéré comme le LLM le plus conforme au RGPD. En version for Work ou Enterprise, Anthropic garantit contractuellement ne jamais utiliser les données clients pour entraîner ses modèles, une garantie auditée par Ernst & Young en septembre 2025. Cependant, depuis août 2025, les versions gratuites et individuelles (Pro, Max) permettent l'utilisation des conversations pour l'entraînement si l'utilisateur ne s'y oppose pas avant la date butoir indiquée. Comme pour les autres plateformes, les usages non encadrés (shadow AI) restent le talon d'Achille.

Microsoft Copilot — puissant, mais révélateur de vos failles internes

Microsoft garantit que les données Microsoft 365 Copilot ne sont pas utilisées pour entraîner les modèles de base. Bonne nouvelle. Le problème est ailleurs : Copilot fonctionne comme une lampe torche puissante braquée sur l'ensemble de vos fichiers. Il accède à tout ce que l'utilisateur peut voir dans Microsoft 365 — courriels, SharePoint, Teams, OneDrive. Selon une étude Concentric AI (2025), Copilot accède en moyenne à environ 3 millions de dossiers confidentiels par organisation — dont des milliers partagés sans restriction d'accès. Si vos permissions internes sont mal configurées, Copilot devient un amplificateur de fuites — sans qu'aucune donnée ne quitte votre tenant.

Google Gemini — le plus gourmand en données personnelles

Selon une étude de Surfshark, Google Gemini est l'assistant IA qui collecte le plus d'informations parmi les grands modèles analysés. En version gratuite (compte Gmail personnel), vos conversations, vos fichiers, votre localisation et votre historique peuvent alimenter l'entraînement de Gemini. La version Google Workspace avec accord de traitement des données (DPA) signé offre de meilleures garanties — mais cela suppose une organisation qui a fait la démarche, ce qui est loin d'être universel.

« Quand un employé transmet des données clients à ChatGPT sans autorisation explicite, l'entreprise est passible d'une amende en vertu de la Loi 25. » — Nick Dooley, The Altercation Company · La Presse, 1^er mai 2026

Loi 25 : ce que ça change concrètement pour vous

La Loi 25 (LPRPSP) impose des obligations précises à toute organisation qui collecte ou transmet des renseignements personnels de résidents du Québec. Ces obligations s'appliquent aussi aux données transmises à des services d'IA.

Cinq obligations qui s'appliquent directement à l'IA

Six leviers concrets pour protéger vos données

Protéger ses données ne signifie pas renoncer à l'IA. Cela signifie utiliser l'IA intelligemment, en choisissant le bon outil pour le bon usage, et en mettant en place les garde-fous nécessaires. Voici six leviers complémentaires.

Focus : l'IA locale sur GPU — la souveraineté à votre portée

L'alternative la plus radicale — et la plus sécuritaire — est l'IA déployée localement. Des outils comme Ollama ou LM Studio permettent d'installer et d'exécuter des modèles open source (Llama 3, Mistral, Qwen, DeepSeek) directement sur votre matériel.

Pour des usages professionnels courants — rédaction, résumés, analyse de documents internes, génération de code — un poste équipé d'un GPU NVIDIA récent (RTX 4070 ou mieux) suffit à exécuter des modèles de 7 à 14 milliards de paramètres avec d'excellentes performances. Pour un déploiement multi-utilisateurs (5 à 50 employés), un serveur dédié avec GPU permet à toute l'équipe de bénéficier d'une IA maison, sans aucune donnée qui sort.

Synéra accompagne votre organisation dans l'évaluation, la sélection et le déploiement d'une solution d'IA locale adaptée à votre contexte — du poste individuel jusqu'au serveur partagé.

Plan d'action : ce qu'il faut faire dès ce trimestre

La fenêtre pour agir de façon proactive se referme. Les enquêtes réglementaires se multiplient, la CAI dispose de pouvoirs d'ordonnance et d'amende, et vos pairs commencent à mettre en place leur gouvernance IA. Voici un plan d'action immédiat pour les dirigeants.