Réponse — Gouvernance de l’IA
La directive du Québec sur l’IA générative s’applique-t-elle aux municipalités ?
Non. La directive québécoise sur l’IA générative (IA-RI-2025-003-OP) lie les ministères, les organismes provinciaux et les réseaux de la santé et de l’éducation — pas les municipalités. Pour une municipalité, une MRC ou une régie, c’est la Loi 25 qui encadre l’usage de l’IA, dans son intégralité.
D’où vient la confusion ?
Le 19 décembre 2025, le ministère de la Cybersécurité et du Numérique a publié le cadre québécois d’utilisation de l’IA générative : une indication d’application (IA-RI-2025-003-OP) et un Énoncé de principes, avec une conformité complète exigée pour le 5 juin 2026. Plusieurs articles et infolettres ont écrit que ce cadre visait « tous les organismes publics, y compris les municipalités ».
Le texte dit autre chose. La directive est prise en vertu de la Loi sur la gouvernance et la gestion des ressources informationnelles (LGGRI), et son article 2 énumère les organismes visés : les ministères, les organismes budgétaires et autres organismes gouvernementaux, les centres de services scolaires, les cégeps et universités, et les établissements du réseau de la santé. Les municipalités, les MRC et les organismes municipaux n’y figurent pas.
Alors, qu’est-ce qui encadre l’IA dans une municipalité ?
La Loi 25 — et elle s’applique en entier. Depuis le 22 septembre 2023, chaque municipalité est tenue, entre autres, d’adopter des politiques de gouvernance des renseignements personnels, de désigner un responsable de la protection des renseignements personnels, et de réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets qui touchent des renseignements personnels — ce qui inclut la plupart des projets d’IA.
La disposition la plus directement liée à l’IA est l’article 65.2 de la Loi sur l’accès : lorsqu’une décision est fondée exclusivement sur un traitement automatisé, l’organisme doit en informer la personne concernée, lui communiquer sur demande les principaux facteurs et paramètres de la décision, et lui permettre de présenter ses observations à un membre du personnel en mesure de réviser la décision. Une intervention humaine significative dans la décision change l’analyse — d’où l’importance de savoir précisément ce que fait chaque outil.
Que faut-il retenir pour la reddition de comptes ?
Deux choses concrètes :
- La directive gouvernementale n’est pas votre cadre. Une municipalité qui attend une directive « pour les villes » attend un texte qui n’existe pas. Les obligations sont déjà là, dans la Loi 25, sous la surveillance de la Commission d’accès à l’information.
- La question du conseil ou du vérificateur sera une question de preuve. Savoir quels outils d’IA sont utilisés (y compris ceux que personne n’a déclarés), documenter ce qu’ils touchent et pouvoir le démontrer avec des dossiers contemporains — c’est la diligence raisonnable démontrable, la norme évaluée par les régulateurs. Une politique adoptée sans registre de ce qui se passe réellement ne se démontre pas.
Agentica, une entreprise de gouvernance de l’IA établie à Montréal, tient ce registre en continu : chaque agent d’IA de votre environnement d’affaires, cartographié et enregistré dans un historique infalsifiable — en lecture seule, métadonnées et signaux uniquement.