Règles d'usage IA par catégorie de données — Pilier 2
Pour qui : PME qui a déjà sa grille de classification et veut un tableau de référence rapide Niveau minimum recommandé : niveau 2-3 du pilier Classification Temps de complétion : 30-45 minutes
Pourquoi ce gabarit existe
La grille de classification dit quoi est sensible. Ce gabarit dit avec quel outil chaque catégorie peut être traitée. Une donnée confidentielle peut entrer dans Copilot dans votre tenant Microsoft, mais jamais dans ChatGPT gratuit. Sans cette distinction, vos employés appliquent des règles uniformes — trop laxistes ou trop strictes — et l'adoption en pâtit.
Le contenu du gabarit
Tableau-récap d'une page à afficher à côté de la grille de classification. Adaptez avec vos outils approuvés réels.
Règles d'usage IA par catégorie — [Nom de l'organisation]
En vigueur depuis : ______________________ Prochaine révision : [date + 3 mois]
Les 3 familles d'outils IA
| Famille | Description | Exemples |
|---|---|---|
| A — Public sans contrat | Outil grand public, sans contrat. Les données peuvent être utilisées pour entraîner les modèles ou conservées sans contrôle. | ChatGPT gratuit, Claude.ai gratuit, Gemini gratuit, DeepL gratuit, perplexity.ai |
| B — Tenanted (M365 / Workspace contractuel) | Outil opéré dans votre tenant, avec contrat qui interdit l'entraînement sur vos données et garantit le périmètre de stockage. | Microsoft 365 Copilot (Business / E3 / E5), Gemini Workspace, ChatGPT Team / Enterprise |
| C — Interne contrôlé | Modèle sur votre infrastructure ou cloud que vous contrôlez (rare en PME — surtout pour manufacturiers ITAR). | Modèle open-source auto-hébergé, Azure OpenAI dans votre tenant, serveur dédié |
Matrice — quels outils pour quelles données ?
| Cat. de donnée | A — Public sans contrat | B — Tenanted | C — Interne contrôlé |
|---|---|---|---|
| 1 — Publique | Permis | Permis | Permis |
| 2 — Interne | Permis avec prudence (préférer B) | Recommandé | Permis |
| 3 — Confidentielle | Interdit | Permis (défaut recommandé) | Permis |
| 4 — Restreinte / réglementée | Interdit absolu | Interdit par défaut — autorisation au cas par cas si anonymisée | Permis (cas rare) |
Précisions importantes
- Toute pièce de catégorie 3 ou 4 soumise à un outil de famille A est un incident à signaler dans les 48 h.
- Anonymisation ≠ retirer le nom : il faut retirer tous les éléments d'identification directe ET indirecte (date + lieu + métier peut ré-identifier). En cas de doute, ne pas anonymiser.
- ITAR / Marchandises contrôlées : jamais en famille A ou B, même tenanted US. Famille C uniquement, hébergement Canada certifié.
- HACCP nominatif agroalimentaire : les dossiers de traçabilité avec lot + fournisseur + retail nominatif ne vont jamais dans un outil non-tenanted ; l'anonymisation est rarement utile (la combinaison ré-identifie trivialement).
- Plans et devis sous NDA construction : jamais en famille A, même en fragment. Famille B seulement si le NDA l'autorise explicitement.
Comment lire la matrice
- Catégorie de votre donnée ? (voir
grille-classification.md) - Outil que vous voulez utiliser ? (voir
outils-approuves-vide.mdpour la famille) - Case « Permis » → allez-y. « Recommandé » → c'est l'option par défaut. « Interdit » → autre outil. « Interdit absolu » → arrêtez et contactez la personne-référence.
Comment l'utiliser
- Pré-requis :
grille-classification.mdetoutils-approuves-vide.md(qui identifie la famille A/B/C). - Adaptez la matrice : sans outil de famille C (cas usuel), retirez la colonne et indiquez « non applicable ».
- Ajoutez les précisions sectorielles pertinentes (ITAR, HACCP, NDA construction).
- Affichez ce tableau à côté de la grille de classification — les deux ensemble forment la référence opérationnelle.
- Référencez dans la politique d'usage acceptable (point 4) pour la cohérence de chaîne.
Exemple ancré — Pièces & Précision Drummondville (60 personnes). Marc configure une seule famille B (Copilot M365, add-on activé) et la famille A en conditionnel. Décisions claires : résumé de norme technique fournisseur avec spécifications NDA → famille B obligatoire. Note interne sur nouvelle procédure ISO 9001 → A ou B au choix. Fragment de plan technique d'un client ITAR/défense → catégorie 4 + drapeau ITAR, aucun outil IA, traitement manuel par défaut. Le débat « peut-on utiliser ChatGPT pour un courriel client routinier ? » est tranché : non si le courriel mentionne une spécification technique ou une référence de pièce, oui si c'est strictement administratif.
Quand revisiter
À chaque revue trimestrielle, et à chaque modification de la liste d'outils approuvés.
Ressources liées
grille-classification.mdtemplates/01-gouvernance/politique-usage-acceptable.md(point 4)templates/03-selection-outils/outils-approuves-vide.mdtemplates/06-mesure-evolution/processus-mise-a-jour-politique.md- OBVIA — Évaluation éthique des outils d'IA : https://www.observatoire-ia.ulaval.ca/