Tous les articles
réglementation Québec IA générative PME conformité gouvernance

Directive IA du Québec : ce qu'elle change pour les PME

1 partage
Bouclier géométrique bleu, icônes de gouvernance et conformité — illustration directive IA Québec

Le 5 juin 2026, une directive discrète mais contraignante est entrée en vigueur au Québec.

Tous les organismes publics assujettis à la Loi sur la gouvernance et la gestion des ressources informationnelles (LGGRI) — ministères, établissements de santé, sociétés d'État — doivent désormais encadrer leur utilisation de l'IA générative. Structure de gouvernance documentée, formation obligatoire des employés, interdiction des données confidentielles dans les outils publics : les exigences sont précises.

Et les PME du privé ? Elles ne sont pas directement visées par le texte. Mais elles en subissent déjà les effets.

Une directive, des obligations précises

La directive ministérielle a été publiée le 19 décembre 2025 par le ministère de la Cybersécurité et du Numérique (MCN). Elle laissait six mois aux organismes pour se conformer.

Les cinq exigences clés, détaillées par Florian Brobst, fondateur de Gouvernance.ai, sont les suivantes :

  • Une structure de gouvernance formalisée avec rôles et responsabilités documentés.
  • L'interdiction de saisir des données confidentielles dans les outils d'IA publics — ChatGPT, Copilot et consorts sont visés.
  • Une formation obligatoire pour chaque utilisateur avant toute utilisation, avec registre de preuves.
  • Une évaluation des facteurs relatifs à la vie privée (EFVP) pour chaque projet, mise à jour en continu.
  • Un processus de gestion des risques en six étapes, documenté et périodique.

Le non-respect n'est pas théorique. La Loi 25 prévoit des sanctions allant de 15 000 $ à 25 millions $, ou 4 % du chiffre d'affaires mondial.

Le portrait 2026 du MCN recense 258 initiatives d'IA dans 83 organismes publics — une hausse de plus de 50 % depuis 2024. La conformité n'est pas un exercice de papier.

Ce que ça implique pour une PME

Vous n'êtes pas un organisme public. Pourquoi cette directive vous concerne ?

Première raison : les appels d'offres. Si vous répondez à un appel d'offres du gouvernement du Québec et que votre solution inclut une composante d'IA — même un simple module de suggestion ou d'analyse — l'organisme acheteur doit vérifier qu'il reste conforme à sa propre directive. Votre proposition doit démontrer que votre outil ne créera pas de non-conformité chez le client.

Deuxième raison : les contrats existants. Une PME qui fournit déjà un logiciel ou un service à un ministère ou à un CISSS peut recevoir une demande de mise à jour contractuelle. L'organisme public doit documenter tous ses usages d'IA, y compris ceux qui passent par un fournisseur externe.

Troisième raison : l'effet d'entraînement. Le Laboratoire de cyberjustice de l'Université de Montréal souligne que ce cadre structuré influence déjà les pratiques du secteur privé. Les entreprises qui traitent des données personnelles au Québec — donc toutes celles qui ont des clients, des employés ou des fournisseurs — gagnent à anticiper ce niveau d'exigence.

Cinq questions à se poser avant de répondre à un appel d'offres

Si vous intégrez de l'IA dans une solution destinée au secteur public, voici ce que l'organisme acheteur va — ou devrait — vous demander :

  1. Où passent les données ? Si votre solution utilise une API externe (OpenAI, Google, Anthropic), les données transitent-elles hors du Québec ? L'article 19 de la directive interdit toute fuite de données confidentielles.

  2. L'utilisateur final est-il formé ? La directive exige que chaque utilisateur ait suivi une formation avant d'utiliser un outil d'IA. Votre solution est-elle utilisable sans formation préalable ? Si non, qui la fournit ?

  3. Avez-vous réalisé une EFVP ? Une évaluation des facteurs relatifs à la vie privée est obligatoire pour chaque projet intégrant de l'IA. Même si c'est la responsabilité de l'organisme public, votre proposition sera plus solide si elle fournit la matière première.

  4. Quelle est votre politique de gouvernance IA ? La directive exige une structure de gouvernance documentée. Si vous n'en avez pas, c'est le moment d'en bâtir une — même légère.

  5. Votre contrat prévoit-il une évolution ? Les systèmes d'IA changent vite. Un contrat qui fige une solution pour trois ans peut devenir un problème de conformité si le modèle ou l'API évolue entretemps.

Les angles morts à ne pas négliger

Un bémol : la directive ne couvre pas directement les municipalités, qui relèvent d'un cadre parallèle du ministère des Affaires municipales. Mais la pression à l'alignement est forte, et plusieurs municipalités s'y préparent.

Autre point à garder en tête : la traçabilité des formations. Florian Brobst le souligne — sans preuve écrite de formation pour chaque utilisateur, l'usage est automatiquement non conforme, peu importe la qualité du système. Une PME qui vend une solution clé en main doit intégrer cette exigence dans son offre.

Enfin, l'absence de cadre fédéral canadien — le projet de loi C-27 a échoué en janvier 2025 — signifie que la directive québécoise pourrait servir de modèle. Les PME qui s'y conforment aujourd'hui prennent une longueur d'avance sur ce qui pourrait devenir la norme nationale.

En clair

La directive du 5 juin n'est pas qu'une contrainte pour le secteur public. Elle redéfinit les exigences de conformité pour toute entreprise qui interagit avec lui — et préfigure un standard plus exigeant pour l'ensemble du marché québécois.

Pour une PME, trois actions immédiates : documenter une politique de gouvernance IA, classifier ses données et former ses équipes. Pas pour cocher une case. Mais pour être prête quand le client public posera les bonnes questions.

Mention IA : cet article a été rédigé avec l'assistance d'un outil d'intelligence artificielle et relu par un humain.

Sources consultées

  • Gouvernement du Québec, « Utilisation responsable de l'intelligence artificielle dans l'administration publique », quebec.ca
  • Florian Brobst, « 5 juin 2026 : six semaines pour que les organismes publics québécois se conforment à la directive sur l'IA », gouvernance.ai, 23 avril 2026
  • Florian Brobst, « Directive IA Québec : 5 exigences avant l'échéance du 5 juin 2026 », florianbrobst.com, mai 2026
  • Laboratoire de cyberjustice, « L'IA générative dans le secteur public québécois : vers une gouvernance structurée et responsable », cyberjustice.ca, février 2026
  • ia-info.fr, « Ce qu'il faut retenir sur l'Intelligence Artificielle — 05 Juin 2026 », ia-info.fr

Avertissement : cet article ne constitue pas un avis juridique. Pour une analyse adaptée à votre situation, consultez un professionnel du droit spécialisé en conformité réglementaire.

Partager cet article

Retour au blog