← Back to feed
Four out of five employees use AI at work without telling anyone. In Quebec, that means they may be sending personal information to OpenAI, Google or Anthropic without a privacy impact assessment, without consent, and without controls. And your cyber insurer is rewriting the rules while you're reading this.
The problem in one line
Your employees use ChatGPT, Gemini or Claude to do their job. You know that. What you may not know is that according to the Cloud Security Alliance, 82% of employees worldwide engage in some form of shadow AI: using it without telling their manager, IT, or clients.
In Quebec, that is a Law 25 compliance problem. In Canada, that is a cyber insurance problem. Either way, your business pays.
What shadow AI actually is
Shadow AI is the use of artificial intelligence tools by employees without approval or visibility from IT or leadership. It can be as ordinary as:
- Pasting a client email into ChatGPT to draft a polished reply
- Uploading a sales spreadsheet to Gemini for a summary
- Asking Claude to review a contract that still has the client's real details inside
- Using a personal AI assistant to summarize a recorded Zoom call
- Letting an AI agent connect to your calendar or inbox
What makes it different from classic shadow IT is the nature of the data flowing out. Shadow AI involves systems that process, generate, and potentially retain sensitive data, turning unsanctioned AI usage into a broader risk of data exposure and access misuse.
How big this is (and how fast it's growing)
A few numbers worth pausing on:
- Zscaler tracks more than 3,400 AI apps in enterprise use, a quadrupling over 12 months. Data transfers to AI applications exceeded 18,000 terabytes in 2025.
- MIT research shows employees at more than 90% of surveyed companies use personal AI accounts for daily work, while only 40% of organizations provide official LLM tools.
- Gartner expects over 40% of organizations to experience compliance and security incidents from shadow AI by 2030.
Lenovo's Work Reborn 2026 report adds that 61% of IT leaders say AI is increasing cybersecurity risks, and only 31% are confident in their ability to address those risks.
Adoption outpaces governance. Always.
Why Quebec is a special case: Law 25 plus the CLOUD Act
Quebec has a regulatory cocktail that makes shadow AI especially risky.
The Law 25 side
Since September 2024, all Law 25 provisions are in force. In practice, your business must:
- Designate a privacy officer
- Run a Privacy Impact Assessment (PIA) before any cross-border transfer of personal information
- Document collection purposes and obtain valid consent
- Notify the CAI of confidentiality incidents
When an employee pastes a client file into ChatGPT, they:
- Trigger a cross-border transfer (OpenAI servers are in the US)
- Without a PIA
- Without informed consent from the affected client
- Often without even knowing whether the data trains a model
This is exactly what the Act to modernize legislative provisions as regards the protection of personal information, known as Law 25, was meant to regulate, with penalties of up to 25 million dollars or 4% of worldwide turnover.
As Nick Dooley summarized in La Presse: when an employee uses shadow AI and transmits client data to an AI agent like ChatGPT without explicit authorization, the company is liable for a fine.
The CLOUD Act side
The US CLOUD Act (2018) lets American authorities compel a US-based company to produce data it holds, regardless of where the data physically sits. So even when OpenAI or Google host part of their infrastructure in Canada, the parent company stays subject to the CLOUD Act.
The CLOUD Act forces a US company to provide data even when it conflicts with local laws like Law 25 or GDPR. Direct jurisdictional conflict with Law 25.
That is why data sovereignty has become a priority issue in Quebec. About 85% of cloud solutions used by Quebec ministries and public bodies are hosted by American giants. If the government itself isn't comfortable, your SMB pasting HR data into Gemini probably shouldn't be either.
The CAI's posture
For now, the CAI has not imposed any sanctions and says it wants to work in collaboration with businesses. Educational phase. But the 2026 five-year report is coming, and the CAI is already recommending a separate algorithmic impact assessment, distinct from the PIA, for any AI tool used in HR management.
Translation: the goodwill phase will end. Companies that get aligned now will avoid fines later.
The blow no one sees coming: your cyber insurance
This is the part most executives miss entirely. The cyber insurance market is rewriting its rules quietly, and your 2026 renewal is when you'll find out.
AI exclusions are showing up
Many 2026 policies include AI exclusions. If a data breach is caused by an employee inputting proprietary code into an unauthorized AI tool, or if your custom AI causes a financial loss, standard policies might not cover you.
Read that carefully: your insurer can refuse to pay if the incident's root cause is shadow AI.
"AI Security Riders" are becoming standard
Cyber insurers in 2026 are introducing AI Security Riders: specialized policy addenda that condition coverage on documented evidence of AI-specific security controls. The required controls include adversarial red-teaming, model-level risk assessments, alignment with recognized AI risk management frameworks, and technical controls preventing data exfiltration through AI tools.
To stay covered, you need to be able to prove to your insurer:
- That you have a documented AI use policy
- That your employees have been trained
- That you have technical controls (DLP, domain blocking, audit logs)
- That you can produce an inventory of AI tools in use
If you cannot tell your carrier what AI tools are in use, what data they access, and what controls are in place, you are not in a position to represent AI Security Rider compliance.
Real-world Canadian numbers
For order of magnitude:
- Standalone cyber insurance policies for Canadian small businesses typically cost 500 to 3,000 dollars per year. The average for a small business with one million in coverage is around 1,000 to 1,500 dollars annually.
- Quebec's Law 25 has stricter requirements and higher penalties than PIPEDA, up to 25 million dollars or 4% of worldwide turnover.
- Mosaic Insurance increased its Canadian cyber capacity to 25 million USD or 40 million CAD per risk in January 2026, more than doubling its previous limit.
Capacity expanding, requirements tightening, AI exclusions multiplying: the window to get compliant at the best price is closing.
Minimum controls to stay insurable
Multi-factor authentication is now a mandatory baseline. If it is not deployed on every email account, VPN, and privileged admin portal, coverage will be denied.
Add: EDR/XDR, immutable backups (3-2-1-1 strategy), 24/7 monitoring, documented employee training, and now an explicit AI policy.
What HUBBVEE does (and what we don't)
Let me be direct about positioning, because cybersecurity is a field where overclaiming costs the client.
What we do
See phase: we map actual AI usage in your business. Not the management deck, the real ground-level reality. We identify which tools are in use, by whom, with what data, how often. This is the AI inventory your insurer will want to see.
Sort phase: we classify usage by Law 25 risk level. Which flows transmit personal information outside Quebec? Which stay harmless? Which cases are solved 80% by a simple tool substitution?
Act phase: we build with you:
- An AI use policy in plain Quebec French (or English), signed by employees
- A decision grid for new AI tools (before purchase or activation)
- A lightweight PIA framework for recurring AI use cases
- An employee training plan on the right reflexes (the same training your insurer will ask for)
- Recommendations for sovereign or compliant alternative tools where it matters
We also integrate AI in compliant ways, not just police it. That is our core trade: turning AI into an operational lever, not a blind spot.
What we don't do
We don't run penetration tests. We don't deploy SIEMs. We don't configure your SOC. We don't sign your SOC 2 attestations.
For deep cybersecurity engineering, we work with specialized partners. Our role is diagnosis, education, and connection to the right resource. If you need a full cyber audit for an insurance renewal or an active incident, we'll tell you straight: that is not our trade, and here's who to call.
That honesty is also what lets us sleep at night.
Your 30-day action plan
If you finished this article thinking "this is on me", here's where to start. No six-month project required.
Week 1: list what's there
- Anonymous internal survey: who uses what AI tool, how often, for what
- Capture visible tools through network logs or browser extensions
- Identify the top five most frequent use cases
Week 2: sort by risk
- Flag use cases that touch personal data (clients, HR, finance)
- Flag use cases that touch confidential content (strategy, R&D, contracts)
- The rest: low-stakes uses (generic email rewrites, brainstorming, etc.)
Week 3: decide and communicate
- Define three lists: approved tools, prohibited tools, under evaluation
- Draft a one-page AI use policy that is actually readable
- Communicate in a team meeting, not a memo
Week 4: train and control
- 30-minute training for the whole team (right reflexes, common traps)
- Activate baseline technical controls: MFA everywhere, block unapproved AI domains on work devices
- Document everything for the next insurance renewal
That is it. It is doable. And it changes your posture in front of the CAI and your insurer.
Questions to ask yourself, right now
- Can I name the AI tools my team used this week?
- Does my current cyber policy have an AI exclusion? (Check the PDF, not the broker summary.)
- If the CAI asked me tomorrow for the PIA covering my AI usage, what would I produce?
- Do my employees have a place to ask "can I use X for Y?" without feeling watched?
- Do my client contracts cover what happens when I process their data through an AI vendor?
If you answered no or "not sure" to more than two, we should probably talk.
Resources and references
Want to look at where your business actually stands? HUBBVEE runs 3-hour strategic workshops that cover exactly this, with an initial mapping and a take-home action plan. Let's talk.
Quatre employés sur cinq utilisent l'IA au travail sans en parler à personne. Au Québec, ça veut dire qu'ils transmettent peut-être des renseignements personnels chez OpenAI, Google ou Anthropic sans EFVP, sans consentement, sans contrôle. Et ton assureur cyber est en train de réécrire les règles pendant que tu lis ça.
Le problème en une ligne
Tes employés utilisent ChatGPT, Gemini ou Claude pour faire leur job. Tu le sais. Ce que tu sais probablement moins, c'est que selon la Cloud Security Alliance, 82 % des employés dans le monde pratiquent une forme d'IA fantôme. C'est-à-dire qu'ils s'en servent sans en aviser le patron, le service informatique ou les clients.
Au Québec, ça devient un problème de conformité Loi 25. Au Canada, ça devient un problème de cyberassurance. Et dans les deux cas, c'est ton entreprise qui paye.
C'est quoi exactement, l'IA fantôme
L'IA fantôme (shadow AI) c'est l'utilisation d'outils d'intelligence artificielle par des employés, sans approbation ni visibilité du service TI ou de la direction. Ça peut être aussi banal que :
- Coller un courriel client dans ChatGPT pour rédiger une réponse plus polie
- Importer un fichier Excel de ventes dans Gemini pour qu'il sorte un résumé
- Demander à Claude de réviser un contrat avec les vraies coordonnées du client dedans
- Utiliser un agent IA personnel pour résumer un appel Zoom enregistré
- Laisser un assistant IA accéder à ton calendrier ou à ta boîte courriel
Le différentiateur avec le shadow IT classique, c'est la nature de la donnée transmise. Le shadow AI implique des systèmes qui traitent, génèrent et potentiellement retiennent des données sensibles, ce qui en fait un problème de sécurité plus large que la simple adoption de logiciels non approuvés.
L'ampleur du phénomène (et ça grossit vite)
Quelques chiffres qui font réfléchir :
- Plus de 3 400 applications IA utilisées en entreprise selon Zscaler, soit un quadruplement en 12 mois. Les transferts de données vers des applications IA ont dépassé 18 000 téraoctets en 2025.
- Selon une recherche du MIT, des employés dans plus de 90 % des entreprises sondées utilisent des comptes IA personnels pour leur travail quotidien, alors que seulement 40 % des organisations fournissent des outils IA officiels.
- Gartner prévoit que plus de 40 % des organisations vivront des incidents liés à la conformité et à la sécurité à cause du shadow AI d'ici 2030.
Le rapport Lenovo Work Reborn 2026 ajoute que 61 % des leaders TI disent que l'IA augmente les risques cyber et seulement 31 % sont confiants dans leur capacité à les gérer.
Bref, l'adoption va plus vite que la gouvernance. Toujours.
Pourquoi le Québec est un cas particulier : Loi 25 + CLOUD Act
Ici, on a un cocktail réglementaire spécifique qui rend l'IA fantôme particulièrement risquée.
Côté Loi 25
Depuis septembre 2024, toutes les dispositions sont en vigueur. Concrètement, ton entreprise doit :
- Désigner un responsable de la protection des renseignements personnels
- Réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP) avant tout transfert de données personnelles hors Québec
- Documenter les finalités de collecte et obtenir un consentement valable
- Notifier les incidents de confidentialité à la CAI
Quand un employé colle un fichier client dans ChatGPT, il fait :
- Un transfert hors Québec (les serveurs OpenAI sont aux États-Unis)
- Sans EFVP
- Sans consentement éclairé du client concerné
- Souvent sans même savoir si la donnée est utilisée pour entraîner un modèle
C'est exactement ce que la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dite Loi 25, est venue encadrer, avec des pénalités pouvant aller jusqu'à 25 millions de dollars, ou 4 % du chiffre d'affaires mondial de l'entreprise.
Et comme le résumait Nick Dooley dans La Presse : quand un employé recourt à l'IA fantôme et transmet des données qui concernent des clients à un agent d'IA comme ChatGPT, sans autorisation explicite, l'entreprise est passible d'une amende.
Côté CLOUD Act
Le CLOUD Act américain (2018) permet aux autorités américaines d'obliger une entreprise basée aux États-Unis à fournir des données qu'elle possède, peu importe où elles sont stockées physiquement. Donc même si OpenAI ou Google hébergent une partie de leurs données au Canada, la maison mère reste soumise au CLOUD Act.
Le CLOUD Act impose à une entreprise américaine de fournir des données même si cela va à l'encontre des lois locales (Loi 25, RGPD). Conflit de juridiction direct avec la Loi 25.
C'est pour ça que la souveraineté des données est devenue un enjeu prioritaire au Québec. Environ 85 % des solutions infonuagiques utilisées par les ministères et organismes publics québécois sont hébergées par des géants américains. Si même le gouvernement n'est pas à l'aise, imagine ta PME qui colle des données RH dans Gemini.
La Commission d'accès à l'information (CAI)
Pour le moment, la CAI n'a imposé aucune sanction et dit vouloir agir en collaboration avec les entreprises. Phase pédagogique. Mais le rapport quinquennal de 2026 s'en vient et la CAI recommande déjà d'aller plus loin en exigeant une analyse d'impact algorithmique spécifique, distincte de l'EFVP, pour tout outil d'IA utilisé en gestion des ressources humaines.
Traduction : la collaboration ne va pas durer. Les entreprises qui se mettent au pas maintenant vont éviter les amendes plus tard.
Le coup que personne ne voit venir : ta cyberassurance
C'est le bout que la plupart des dirigeants ratent complètement. Le marché de l'assurance cyber est en train de réécrire les règles, en silence, et c'est ton renouvellement de 2026 qui va te le faire réaliser.
Les exclusions IA arrivent en force
Plusieurs polices 2026 incluent des exclusions IA. Si une fuite de données est causée par un employé qui colle du code propriétaire dans un outil IA non autorisé, ou si l'IA personnalisée de ta compagnie cause une perte financière, les polices standards pourraient ne pas couvrir.
Lis bien : ton assureur peut refuser de payer si la cause de l'incident est l'IA fantôme.
Les "AI Security Riders" deviennent la norme
Les assureurs cyber introduisent en 2026 ce qu'on appelle des AI Security Riders : des avenants qui conditionnent la couverture à la présence documentée de contrôles spécifiques à l'IA. Les contrôles exigés incluent le red-teaming adverse, des évaluations de risques au niveau des modèles, l'alignement avec des cadres de gestion des risques IA reconnus, et des contrôles techniques empêchant l'exfiltration de données via des outils IA.
Concrètement, pour rester couvert, tu dois pouvoir prouver à ton assureur :
- Que tu as une politique d'usage IA documentée
- Que tu as formé tes employés
- Que tu as des contrôles techniques (DLP, blocage de domaines, audit)
- Que tu peux faire un inventaire des outils IA utilisés dans l'entreprise
Si tu ne peux pas dire à ton assureur quels outils IA sont utilisés, quelles données ils accèdent et quels contrôles sont en place, tu n'es pas en position de représenter la conformité au AI Security Rider.
Les coûts réels au Canada
Pour situer les ordres de grandeur :
- Les polices d'assurance cyber autonomes pour PME canadiennes coûtent typiquement entre 500 $ et 3 000 $ par année. Le coût moyen pour une PME avec une couverture d'un million de dollars est d'environ 1 000 $ à 1 500 $ annuellement.
- Au Québec, la Loi 25 a des exigences plus strictes et des pénalités plus élevées que la LPRPDE, jusqu'à 25 millions ou 4 % du chiffre d'affaires mondial.
- Mosaic Insurance a augmenté sa capacité cyber au Canada à 25 millions USD / 40 millions CAD par risque en janvier 2026, plus que doublant sa limite précédente.
Capacité qui augmente, exigences qui se durcissent, exclusions IA qui se multiplient : la fenêtre pour se mettre en règle au meilleur prix se ferme.
Les contrôles minimums pour rester assurable
L'authentification multifacteur (MFA) est devenue une base obligatoire. Si elle n'est pas déployée sur chaque compte courriel, VPN et portail admin privilégié, la couverture sera refusée.
À ça s'ajoutent : EDR/XDR, sauvegardes immuables (stratégie 3-2-1-1), monitoring 24/7, formation employés documentée, et maintenant une politique IA explicite.
Ce que HUBBVEE peut faire (et ce qu'on ne fait pas)
Soyons clairs sur le positionnement, parce que la cybersécurité c'est un domaine où la prétention coûte cher au client.
Ce qu'on fait
Phase Voir : on cartographie l'usage réel de l'IA dans ton entreprise. Pas le PowerPoint de la direction, la réalité du terrain. On identifie quels outils sont utilisés, par qui, avec quelles données, à quelle fréquence. C'est l'équivalent du AI inventory exigé par les assureurs.
Phase Trier : on classe les usages par niveau de risque Loi 25. Quels sont les flux qui transmettent des renseignements personnels hors Québec ? Quels sont ceux qui restent inoffensifs ? Quels sont les cas où une simple substitution d'outil règle 80 % du risque ?
Phase Agir : on bâtit avec toi :
- Une politique d'usage IA en français Québec, signée par les employés
- Une grille de décision pour les nouveaux outils IA (avant achat ou activation)
- Un cadre EFVP allégé pour les usages IA récurrents
- Un plan de formation employés sur les bons réflexes (la fameuse formation que ton assureur va te demander)
- Des recommandations d'outils alternatifs souverains ou conformes quand c'est pertinent
On intègre aussi l'IA conformément, pas seulement on l'encadre. C'est notre métier de base : transformer l'IA en levier opérationnel, pas en angle mort.
Ce qu'on ne fait pas
On ne fait pas de pentest. On ne déploie pas de SIEM. On ne configure pas ton SOC. On ne signe pas tes attestations SOC 2.
Pour la cybersécurité technique de fond, on travaille avec des partenaires spécialisés. Notre rôle c'est le diagnostic, l'éducation, et la connexion vers la bonne ressource quand c'est nécessaire. Si tu as besoin d'un audit cyber complet pour un renouvellement d'assurance ou un incident, on te dit franchement : ce n'est pas notre métier, et voici qui appeler.
Cette honnêteté-là, c'est aussi ce qui fait qu'on dort la nuit.
Ton plan d'action sur 30 jours
Si tu lis cet article et que tu te dis "OK ça me concerne", voici par où commencer. Pas besoin d'un projet de six mois.
Semaine 1 : faire la liste
- Sondage interne anonyme : qui utilise quel outil IA, à quelle fréquence, pour quoi
- Capture des outils visibles dans les logs réseau ou les extensions navigateur
- Identification des cinq cas d'usage les plus fréquents
Semaine 2 : trier le risque
- Marquer les usages qui touchent à des renseignements personnels (clients, RH, finance)
- Marquer ceux qui touchent à du contenu confidentiel (stratégie, R&D, contrats)
- Le reste : usages bénins (réécriture de courriel générique, brainstorm, etc.)
Semaine 3 : décider et communiquer
- Définir trois listes : outils approuvés, outils interdits, outils en cours d'évaluation
- Rédiger une politique d'usage IA en une page, lisible
- Communiquer en réunion d'équipe, pas par courriel
Semaine 4 : formation et contrôle
- Formation de 30 minutes pour toute l'équipe (les bons réflexes, les pièges)
- Activation de contrôles techniques de base : MFA partout, blocage des domaines IA non approuvés sur les postes pros
- Documentation de tout ça pour le prochain renouvellement d'assurance
C'est tout. C'est faisable. Et ça change ta posture face à la CAI et face à ton assureur.
Les questions à te poser, là, maintenant
- Est-ce que je peux nommer les outils IA utilisés dans mon entreprise cette semaine ?
- Est-ce que ma police cyber actuelle a une exclusion IA ? (Vérifier le PDF, pas le résumé du courtier.)
- Si la CAI me demandait demain de produire l'EFVP de mon usage IA, qu'est-ce que je sortirais ?
- Est-ce que j'ai un endroit où mes employés peuvent demander "est-ce que je peux utiliser X pour Y ?" sans se sentir surveillés ?
- Est-ce que mes contrats clients prévoient ce qui se passe si je traite leurs données avec un fournisseur IA ?
Si tu réponds non ou "je ne sais pas" à plus de deux questions, on devrait probablement se parler.
Ressources et références
Tu veux qu'on regarde ensemble où ton entreprise se situe ? HUBBVEE fait des ateliers stratégiques de 3 heures qui couvrent exactement ce sujet, avec une cartographie initiale et un plan d'action à la sortie. Écris-moi.