Aller au contenu principal
Agentica

Réponse — Gouvernance de l’IA

Peut-on saisir des renseignements personnels de citoyens dans ChatGPT ?

La Loi 25 ne nomme aucun outil : elle encadre l’usage des renseignements personnels, quel que soit le canal. Saisir des renseignements de citoyens dans un outil d’IA grand public est une utilisation comme une autre — soumise aux mêmes règles de finalité, de nécessité et de protection, et qui doit pouvoir être démontrée après coup.

Ce que la Loi 25 exige — outil d’IA ou non

La Loi 25 s’applique directement aux municipalités : règles de gouvernance, politiques de protection, exigences de conception et ÉFVP sont obligatoires depuis septembre 2023, sous la surveillance de la CAI. Ces obligations ne dépendent pas de l’outil. Copier le dossier d’un citoyen dans un agent conversationnel, c’est communiquer des renseignements personnels à un tiers — le fournisseur du service — et cette communication répond aux mêmes questions que n’importe quelle autre : dans quel but, est-ce nécessaire, avec quelles mesures de protection, et qui l’a autorisée ?

La réponse honnête à la question posée n’est donc ni « oui » ni « jamais » : c’est « à quelles conditions — et pouvez-vous démontrer qu’elles étaient réunies ? »

Pourquoi le vrai risque est l’usage invisible

Le cas qui inquiète la CAI, le vérificateur et le conseil n’est pas l’usage encadré : c’est l’employé bien intentionné qui colle un dossier dans un outil que personne n’a évalué. Le rapport Cost of a Data Breach 2025 d’IBM chiffre le phénomène : 20 % des organisations touchées par une brèche l’ont été via l’IA fantôme, pour un surcoût moyen de 670 000 $ US — et 97 % des organisations touchées par une brèche liée à l’IA n’avaient aucun contrôle d’accès à l’IA.

Interdire sans voir ne règle rien : l’usage continue, hors de vue. La question utile est « quels outils d’IA sont réellement utilisés chez nous, par qui, et sur quoi ? »

Que peut démontrer une organisation prudente ?

Trois choses, chacune un fait de registre : quels outils d’IA touchent son environnement d’affaires, lesquels ont été évalués et encadrés, et comment les écarts détectés ont été traités. Un écart détecté, corrigé et consigné est une force devant la CAI — c’est l’aveuglement qui coûte.

Agentica tient ce registre : la cartographie continue de chaque agent d’IA de votre environnement d’affaires — métadonnées et signaux seulement, jamais le contenu de vos fichiers — enregistrée dans un historique infalsifiable que le conseil, le vérificateur et la CAI peuvent recevoir tel quel.

Sources