Skip to content Skip to content

Journal · pilier · 28 mai 2026 · 14 min

Copilot, ChatGPT entreprise et Loi 25 au Québec

Les déploiements Copilot et ChatGPT Enterprise accélèrent en 2026. La Loi 25 n'accélère pas avec eux — EFVP, contrats sous-traitants et politique IA restent obligatoires avant le premier prompt métier.

Audit Loi 25 · 12 questionsPilier Loi 25 + IA

En entreprise québécoise, Microsoft Copilot (M365) et ChatGPT Enterprise (OpenAI) sont les deux déploiements les plus fréquents en 2026. Les directions TI les activent souvent « parce que c'est inclus » ou « parce que la concurrence l'a » — sans EFVP, sans contrat sous-traitant à jour, sans politique shadow AI. Ce guide complète le pilier Loi 25 + IA avec un focus enterprise rollout : ce que votre RPRP doit voir avant le bouton vert.

Copilot

Microsoft Copilot et M365 au Québec

Copilot lit courriels, Teams, SharePoint et documents OneDrive. Chaque extrait peut contenir des renseignements personnels de clients, employés ou citoyens. Microsoft propose des engagements contractuels et des régions de traitement — mais l'entité légale reste américaine : le CLOUD Act s'applique. Checklist RPRP avant activation Copilot :

  • EFVP couvrant finalités, catégories de RP, durée de rétention des prompts Copilot
  • Contrat sous-traitant Microsoft à jour (DPA + annexes IA)
  • Évaluation art. 17 — transfert hors Québec documentée et publiée
  • Politique d'usage : quels départements, quels types de dossiers interdits
  • Recours humain si Copilot influence embauche, crédit ou refus de service (art. 12.1) La région « Canada » Azure ne suffit pas à elle seule — voir Pourquoi un LLM québécois ne suffit pas.

ChatGPT

ChatGPT Enterprise et OpenAI

ChatGPT Enterprise promet isolation des données et absence d'entraînement sur vos prompts. C'est nécessaire mais insuffisant pour la Loi 25 québécoise : il faut encore prouver l'équivalence de protection pour les transferts, tenir un registre d'incidents, et encadrer les plugins et connecteurs tiers. Les PME qui achètent des sièges sans gouvernance créent du shadow AI parallèle : des employés utilisent ChatGPT gratuit avec les mêmes dossiers que l'instance Enterprise. La politique IA doit couvrir les deux.

Politique

Modèle de politique IA entreprise (extrait)

  1. Périmètre — Outils autorisés listés ; tout autre outil génératif interdit pour les RP.
  2. EFVP — Obligatoire avant tout nouveau cas d'usage métier ou intégration API.
  3. Classification — Données publiques / internes / confidentielles / RP — règles par niveau.
  4. Sous-traitants — Registre public ou intranet ; révision annuelle des DPAs.
  5. Incidents — Procédure art. 3.8 ; notification CAI si risque de préjudice grave.
  6. Supervision — Superviseur humain nommé par assistant ou parcours automatisé documenté.
  7. Formation — Atelier annuel + attestation pour les rôles à risque. L'offre Découverte du Programme LysIA livre une EFVP et une politique IA adaptées à votre secteur — pas un PDF générique traduit de l'anglais.

PME

IA générative PME — guide de conformité minimal

Pour une PME québécoise (5–200 employés), l'ordre recommandé :

  1. Nommer ou identifier le RPRP (art. 3.1)
  2. Inventorier les outils IA déjà utilisés (y compris shadow AI)
  3. EFVP sur le cas d'usage prioritaire (Copilot, ChatGPT ou agent métier)
  4. Contrats sous-traitants + mise à jour politique de confidentialité
  5. Alternative québécoise documentée pour les dossiers sensibles (pile LysIA) Commencez par l'audit gratuit en 12 questions — score immédiat et liens vers les pièces manquantes.

FAQ

Questions fréquentes.

Microsoft Copilot est-il conforme à la Loi 25 au Québec?

Pas automatiquement. Copilot traite des renseignements personnels via des infrastructures Microsoft soumises au CLOUD Act. L'organisation doit signer un contrat sous-traitant, mener une EFVP, documenter les transferts hors Québec et publier les informations requises — souvent insuffisant sans architecture complémentaire au Québec.

ChatGPT Enterprise au Québec — quelles obligations Loi 25?

Mêmes obligations qu'un sous-traitant IA américain : contrat écrit, évaluation de l'équivalence de protection pour les transferts, registre des incidents, recours humain sur les décisions automatisées (art. 12.1), politique anti-shadow AI. La case « Enterprise » ne remplace pas l'EFVP.

Qu'est-ce qu'une politique IA entreprise conforme au Québec?

Document approuvé par la direction : outils autorisés, interdiction de RP dans les services non approuvés, procédure EFVP avant tout nouveau cas d'usage, superviseur humain nommé, registre sous-traitants public, canal d'incident Loi 25. Modèle interne ci-dessous.

Comment une PME québécoise déploie l'IA générative sans shadow AI?

Liste blanche d'outils contractés, formation, alternative québécoise documentée pour les cas métier sensibles, audit trimestriel des logs M365/Google, et offre Découverte du Programme avec EFVP prête si vous hébergez au Québec via une pile documentée (ex. LysIA).

Copilot vs logiciels métiers québécois — quelle différence Loi 25?

Copilot est un copilote horizontal Microsoft. LysIA livre des logiciels métiers (fonciq, Cocon) avec données à Beauharnois, traitement IA à Montréal, Pacte LysIA public et assistants identifiés avec superviseurs nommés — la documentation des transferts hors Québec est plus simple quand les données client ne quittent pas la province.

Où commencer l'audit?

Diagnostic gratuit en 12 questions : /audit-loi-25. Pilier complémentaire : /journal/loi-25-ia.

Cookies & privacy

We do not use advertising cookies or third-party trackers. Anonymous, cookieless analytics (Plausible, hosted in Quebec). Online booking may use technical cookies when you schedule a meeting.

Privacy policy