Quatre employés sur cinq utilisent l'IA au travail sans en parler à personne. Au Québec, ça veut dire qu'ils transmettent peut-être des renseignements personnels chez OpenAI, Google ou Anthropic sans EFVP, sans consentement, sans contrôle. Et ton assureur cyber est en train de réécrire les règles pendant que tu lis ça.

Le problème en une ligne

Tes employés utilisent ChatGPT, Gemini ou Claude pour faire leur job. Tu le sais. Ce que tu sais probablement moins, c'est que selon la Cloud Security Alliance, 82 % des employés dans le monde pratiquent une forme d'IA fantôme. C'est-à-dire qu'ils s'en servent sans en aviser le patron, le service informatique ou les clients.

Au Québec, ça devient un problème de conformité Loi 25. Au Canada, ça devient un problème de cyberassurance. Et dans les deux cas, c'est ton entreprise qui paye.

C'est quoi exactement, l'IA fantôme

L'IA fantôme (shadow AI) c'est l'utilisation d'outils d'intelligence artificielle par des employés, sans approbation ni visibilité du service TI ou de la direction. Ça peut être aussi banal que :

• Coller un courriel client dans ChatGPT pour rédiger une réponse plus polie
• Importer un fichier Excel de ventes dans Gemini pour qu'il sorte un résumé
• Demander à Claude de réviser un contrat avec les vraies coordonnées du client dedans
• Utiliser un agent IA personnel pour résumer un appel Zoom enregistré
• Laisser un assistant IA accéder à ton calendrier ou à ta boîte courriel

Le différentiateur avec le shadow IT classique, c'est la nature de la donnée transmise. Le shadow AI implique des systèmes qui traitent, génèrent et potentiellement retiennent des données sensibles, ce qui en fait un problème de sécurité plus large que la simple adoption de logiciels non approuvés.

L'ampleur du phénomène (et ça grossit vite)

Quelques chiffres qui font réfléchir :

• Plus de 3 400 applications IA utilisées en entreprise selon Zscaler, soit un quadruplement en 12 mois. Les transferts de données vers des applications IA ont dépassé 18 000 téraoctets en 2025.
• Selon une recherche du MIT, des employés dans plus de 90 % des entreprises sondées utilisent des comptes IA personnels pour leur travail quotidien, alors que seulement 40 % des organisations fournissent des outils IA officiels.
• Gartner prévoit que plus de 40 % des organisations vivront des incidents liés à la conformité et à la sécurité à cause du shadow AI d'ici 2030.

Le rapport Lenovo Work Reborn 2026 ajoute que 61 % des leaders TI disent que l'IA augmente les risques cyber et seulement 31 % sont confiants dans leur capacité à les gérer.

Bref, l'adoption va plus vite que la gouvernance. Toujours.

Pourquoi le Québec est un cas particulier : Loi 25 + CLOUD Act

Ici, on a un cocktail réglementaire spécifique qui rend l'IA fantôme particulièrement risquée.

Côté Loi 25

Depuis septembre 2024, toutes les dispositions sont en vigueur. Concrètement, ton entreprise doit :

• Désigner un responsable de la protection des renseignements personnels
• Réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP) avant tout transfert de données personnelles hors Québec
• Documenter les finalités de collecte et obtenir un consentement valable
• Notifier les incidents de confidentialité à la CAI

Quand un employé colle un fichier client dans ChatGPT, il fait :

1. Un transfert hors Québec (les serveurs OpenAI sont aux États-Unis)
2. Sans EFVP
3. Sans consentement éclairé du client concerné
4. Souvent sans même savoir si la donnée est utilisée pour entraîner un modèle

C'est exactement ce que la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dite Loi 25, est venue encadrer, avec des pénalités pouvant aller jusqu'à 25 millions de dollars, ou 4 % du chiffre d'affaires mondial de l'entreprise.

Et comme le résumait Nick Dooley dans La Presse : quand un employé recourt à l'IA fantôme et transmet des données qui concernent des clients à un agent d'IA comme ChatGPT, sans autorisation explicite, l'entreprise est passible d'une amende.

Côté CLOUD Act

Le CLOUD Act américain (2018) permet aux autorités américaines d'obliger une entreprise basée aux États-Unis à fournir des données qu'elle possède, peu importe où elles sont stockées physiquement. Donc même si OpenAI ou Google hébergent une partie de leurs données au Canada, la maison mère reste soumise au CLOUD Act.

Le CLOUD Act impose à une entreprise américaine de fournir des données même si cela va à l'encontre des lois locales (Loi 25, RGPD). Conflit de juridiction direct avec la Loi 25.

C'est pour ça que la souveraineté des données est devenue un enjeu prioritaire au Québec. Environ 85 % des solutions infonuagiques utilisées par les ministères et organismes publics québécois sont hébergées par des géants américains. Si même le gouvernement n'est pas à l'aise, imagine ta PME qui colle des données RH dans Gemini.

La Commission d'accès à l'information (CAI)

Pour le moment, la CAI n'a imposé aucune sanction et dit vouloir agir en collaboration avec les entreprises. Phase pédagogique. Mais le rapport quinquennal de 2026 s'en vient et la CAI recommande déjà d'aller plus loin en exigeant une analyse d'impact algorithmique spécifique, distincte de l'EFVP, pour tout outil d'IA utilisé en gestion des ressources humaines.

Traduction : la collaboration ne va pas durer. Les entreprises qui se mettent au pas maintenant vont éviter les amendes plus tard.

Le coup que personne ne voit venir : ta cyberassurance

C'est le bout que la plupart des dirigeants ratent complètement. Le marché de l'assurance cyber est en train de réécrire les règles, en silence, et c'est ton renouvellement de 2026 qui va te le faire réaliser.

Les exclusions IA arrivent en force

Plusieurs polices 2026 incluent des exclusions IA. Si une fuite de données est causée par un employé qui colle du code propriétaire dans un outil IA non autorisé, ou si l'IA personnalisée de ta compagnie cause une perte financière, les polices standards pourraient ne pas couvrir.

Lis bien : ton assureur peut refuser de payer si la cause de l'incident est l'IA fantôme.

Les "AI Security Riders" deviennent la norme

Les assureurs cyber introduisent en 2026 ce qu'on appelle des AI Security Riders : des avenants qui conditionnent la couverture à la présence documentée de contrôles spécifiques à l'IA. Les contrôles exigés incluent le red-teaming adverse, des évaluations de risques au niveau des modèles, l'alignement avec des cadres de gestion des risques IA reconnus, et des contrôles techniques empêchant l'exfiltration de données via des outils IA.

Concrètement, pour rester couvert, tu dois pouvoir prouver à ton assureur :

• Que tu as une politique d'usage IA documentée
• Que tu as formé tes employés
• Que tu as des contrôles techniques (DLP, blocage de domaines, audit)
• Que tu peux faire un inventaire des outils IA utilisés dans l'entreprise

Si tu ne peux pas dire à ton assureur quels outils IA sont utilisés, quelles données ils accèdent et quels contrôles sont en place, tu n'es pas en position de représenter la conformité au AI Security Rider.

Les coûts réels au Canada

Pour situer les ordres de grandeur :

• Les polices d'assurance cyber autonomes pour PME canadiennes coûtent typiquement entre 500 $ et 3 000 $ par année. Le coût moyen pour une PME avec une couverture d'un million de dollars est d'environ 1 000 $ à 1 500 $ annuellement.
• Au Québec, la Loi 25 a des exigences plus strictes et des pénalités plus élevées que la LPRPDE, jusqu'à 25 millions ou 4 % du chiffre d'affaires mondial.
• Mosaic Insurance a augmenté sa capacité cyber au Canada à 25 millions USD / 40 millions CAD par risque en janvier 2026, plus que doublant sa limite précédente.

Capacité qui augmente, exigences qui se durcissent, exclusions IA qui se multiplient : la fenêtre pour se mettre en règle au meilleur prix se ferme.

Les contrôles minimums pour rester assurable

L'authentification multifacteur (MFA) est devenue une base obligatoire. Si elle n'est pas déployée sur chaque compte courriel, VPN et portail admin privilégié, la couverture sera refusée.

À ça s'ajoutent : EDR/XDR, sauvegardes immuables (stratégie 3-2-1-1), monitoring 24/7, formation employés documentée, et maintenant une politique IA explicite.

Ce que HUBBVEE peut faire (et ce qu'on ne fait pas)

Soyons clairs sur le positionnement, parce que la cybersécurité c'est un domaine où la prétention coûte cher au client.

Ce qu'on fait

Phase Voir : on cartographie l'usage réel de l'IA dans ton entreprise. Pas le PowerPoint de la direction, la réalité du terrain. On identifie quels outils sont utilisés, par qui, avec quelles données, à quelle fréquence. C'est l'équivalent du AI inventory exigé par les assureurs.

Phase Trier : on classe les usages par niveau de risque Loi 25. Quels sont les flux qui transmettent des renseignements personnels hors Québec ? Quels sont ceux qui restent inoffensifs ? Quels sont les cas où une simple substitution d'outil règle 80 % du risque ?

Phase Agir : on bâtit avec toi :

• Une politique d'usage IA en français Québec, signée par les employés
• Une grille de décision pour les nouveaux outils IA (avant achat ou activation)
• Un cadre EFVP allégé pour les usages IA récurrents
• Un plan de formation employés sur les bons réflexes (la fameuse formation que ton assureur va te demander)
• Des recommandations d'outils alternatifs souverains ou conformes quand c'est pertinent

On intègre aussi l'IA conformément, pas seulement on l'encadre. C'est notre métier de base : transformer l'IA en levier opérationnel, pas en angle mort.

Ce qu'on ne fait pas

On ne fait pas de pentest. On ne déploie pas de SIEM. On ne configure pas ton SOC. On ne signe pas tes attestations SOC 2.

Pour la cybersécurité technique de fond, on travaille avec des partenaires spécialisés. Notre rôle c'est le diagnostic, l'éducation, et la connexion vers la bonne ressource quand c'est nécessaire. Si tu as besoin d'un audit cyber complet pour un renouvellement d'assurance ou un incident, on te dit franchement : ce n'est pas notre métier, et voici qui appeler.

Cette honnêteté-là, c'est aussi ce qui fait qu'on dort la nuit.

Ton plan d'action sur 30 jours

Si tu lis cet article et que tu te dis "OK ça me concerne", voici par où commencer. Pas besoin d'un projet de six mois.

Semaine 1 : faire la liste

• Sondage interne anonyme : qui utilise quel outil IA, à quelle fréquence, pour quoi
• Capture des outils visibles dans les logs réseau ou les extensions navigateur
• Identification des cinq cas d'usage les plus fréquents

Semaine 2 : trier le risque

• Marquer les usages qui touchent à des renseignements personnels (clients, RH, finance)
• Marquer ceux qui touchent à du contenu confidentiel (stratégie, R&D, contrats)
• Le reste : usages bénins (réécriture de courriel générique, brainstorm, etc.)

Semaine 3 : décider et communiquer

• Définir trois listes : outils approuvés, outils interdits, outils en cours d'évaluation
• Rédiger une politique d'usage IA en une page, lisible
• Communiquer en réunion d'équipe, pas par courriel

Semaine 4 : formation et contrôle

• Formation de 30 minutes pour toute l'équipe (les bons réflexes, les pièges)
• Activation de contrôles techniques de base : MFA partout, blocage des domaines IA non approuvés sur les postes pros
• Documentation de tout ça pour le prochain renouvellement d'assurance

C'est tout. C'est faisable. Et ça change ta posture face à la CAI et face à ton assureur.

Les questions à te poser, là, maintenant

1. Est-ce que je peux nommer les outils IA utilisés dans mon entreprise cette semaine ?
2. Est-ce que ma police cyber actuelle a une exclusion IA ? (Vérifier le PDF, pas le résumé du courtier.)
3. Si la CAI me demandait demain de produire l'EFVP de mon usage IA, qu'est-ce que je sortirais ?
4. Est-ce que j'ai un endroit où mes employés peuvent demander "est-ce que je peux utiliser X pour Y ?" sans se sentir surveillés ?
5. Est-ce que mes contrats clients prévoient ce qui se passe si je traite leurs données avec un fournisseur IA ?

Si tu réponds non ou "je ne sais pas" à plus de deux questions, on devrait probablement se parler.

Ressources et références

• La Presse, 1er mai 2026 : Votre recours à l'IA au boulot pourrait être illégal
• Commission d'accès à l'information du Québec
• Cyber Savvy Canada (Bureau d'assurance du Canada)
• MNP : guide Loi 25 pour les entreprises

Tu veux qu'on regarde ensemble où ton entreprise se situe ? HUBBVEE fait des ateliers stratégiques de 3 heures qui couvrent exactement ce sujet, avec une cartographie initiale et un plan d'action à la sortie. Écris-moi.