Réponse — Gouvernance de l’IA
Que peut montrer un dossier de gouvernance de l’IA après un incident ?
Après un incident lié à l’IA, un dossier de gouvernance peut montrer ce que l’outil a fait, à quel moment, ce à quoi il pouvait accéder et ce qu’il a touché — rejoué à partir d’entrées consignées au moment même. C’est cet historique contemporain que présupposent le registre des incidents et les obligations d’avis de la Loi 25.
Pourquoi le dossier compte après un incident
La Loi 25 oblige une municipalité à tenir un registre des incidents de confidentialité et — lorsqu’un incident présente un risque qu’un préjudice sérieux soit causé — à aviser avec diligence la Commission d’accès à l’information (CAI) ainsi que les personnes concernées (Loi sur l’accès A-2.1, art. 63.8 à 63.11 ; le registre est à l’art. 63.11). Quand l’IA est en cause, la question concrète sous chacune de ces obligations devient étroite et précise : qu’a fait l’outil, à quel moment, et avec quel accès ?
Y répondre dans les jours qui suivent un incident est soit simple, soit presque impossible — et cela dépend entièrement de ce que vous teniez avant qu’il se produise.
Ce qu’un dossier tenu peut montrer
Un dossier conçu pour cela est fait pour répondre à la chronologie de l’incident, pas pour être assemblé dans l’urgence :
- Le déclencheur — ce qui a mis l’agent d’IA en action, et à quel moment.
- L’action — ce qu’il a réellement fait, étape par étape.
- Ce qu’il a touché — les fichiers ou données qu’il pouvait atteindre, et ceux qu’il a modifiés. Par défaut, ce sont des métadonnées et des signaux : nous voyons qu’un outil a modifié un fichier à 14 h et qui en est le propriétaire — jamais ce qu’il contient.
- Le correctif — l’écart repéré et le changement apporté, consignés au dossier au moment même.
Parce que l’historique est en ajout seul et détenu de façon indépendante, chacun de ces points est une entrée contemporaine que vous rejouez, et non un souvenir à défendre.
Rejoué, non reconstitué
C’est toute la distinction. Un dossier que l’on rejoue provient d’entrées écrites au moment même ; une paperasse reconstituée après coup — assemblée la semaine précédant un examen — ne porte que votre parole quant à sa fidélité aux faits. Les régulateurs et vérificateurs connaissent la différence, et la Loi 25 présuppose la première. Un historique infalsifiable répond à cette attente par construction.
Consigner l’incident lui-même
L’entrée au registre des incidents est elle-même un acte de gouvernance. Déposée sur les rails d’Agentica, elle est consignée au dossier — datée, scellée par empreinte, dans le même historique détenu de façon indépendante que les signaux machine qu’elle décrit. Ainsi le registre que la CAI peut demander à voir, et la chronologie qui le sous-tend, résident au même endroit.
Agentica, entreprise de gouvernance de l’IA établie à Montréal, tient ce dossier en continu : chaque agent d’IA de votre environnement d’affaires, cartographié et enregistré dans un historique infalsifiable sous garde indépendante — en lecture seule, métadonnées et signaux par défaut.
Agentica fournit des preuves de gouvernance de l’IA et de l’intelligence des risques. Ses services ne constituent ni un avis juridique ni une certification de conformité.