Réponse — Gouvernance de l’IA
Quelles sont les obligations d’une municipalité qui utilise l’IA ?
Une municipalité qui utilise l’IA reste soumise à la Loi 25 en entier : politiques de gouvernance, responsable désigné, ÉFVP pour les projets touchant des renseignements personnels, transparence des décisions entièrement automatisées (art. 65.2) — et la capacité de démontrer tout cela avec des dossiers tenus au moment même.
D’où viennent ces obligations ?
De la Loi 25 — pas d’une directive « IA ». Le cadre québécois sur l’IA générative vise les organismes provinciaux et les réseaux de la santé et de l’éducation ; les municipalités en sont exclues. Ce qui s’applique à une municipalité, une MRC ou une régie, c’est le régime de protection des renseignements personnels, en vigueur pour l’essentiel depuis septembre 2023, sous la surveillance de la Commission d’accès à l’information.
Quelles obligations l’usage de l’IA déclenche-t-il ?
La Loi 25 ne nomme pas « ChatGPT » ; elle encadre ce que les outils font. Quatre familles d’obligations se rattachent directement à l’IA :
- Gouvernance. Des politiques et pratiques encadrant les renseignements personnels, publiées, et un responsable de la protection des renseignements personnels désigné — c’est lui que l’usage d’IA met sous pression.
- Évaluation préalable. Une ÉFVP pour tout projet d’acquisition, de développement ou de refonte de système touchant des renseignements personnels — la plupart des projets d’IA en sont — avec une attention particulière aux données qui quittent le Québec.
- Transparence des décisions automatisées. Si une décision est fondée exclusivement sur un traitement automatisé, l’article 65.2 exige d’informer la personne, d’expliquer sur demande les principaux facteurs, et de recevoir ses observations.
- Incidents. Un registre des incidents de confidentialité et, au-delà d’un seuil de gravité, la notification — ce qui suppose de savoir quels outils touchent quels renseignements.
Que faut-il pouvoir montrer, le moment venu ?
Chacune de ces obligations se double d’une question de preuve. Savoir qu’une politique existe ne suffit pas ; il faut pouvoir montrer quels outils d’IA sont réellement en usage — y compris ceux qu’un fournisseur a activés —, ce qu’ils touchent, et comment les écarts ont été traités. C’est la diligence raisonnable démontrable : des dossiers contemporains, pas des documents assemblés la veille d’une vérification.
Agentica tient ce dossier en continu : chaque agent d’IA de votre environnement d’affaires, cartographié et enregistré dans un historique infalsifiable — en lecture seule, métadonnées et signaux uniquement — d’où sortent les rapports pour le conseil, le vérificateur ou la Commission.