Processus de mise à jour de la politique d'usage acceptable — Pilier 6
Pour qui : personne-référence IA qui veut un processus clair pour faire évoluer sa politique Niveau minimum recommandé : niveau 2-3 du pilier Mesure Temps de complétion : 20 min d'adaptation ; usage continu
Pourquoi ce gabarit existe
Une politique d'usage acceptable n'est pas gravée dans le marbre. Elle évolue selon apprentissages, incidents, nouveaux outils, changements réglementaires. Mais ne doit pas changer tous les mois — la stabilité est aussi une valeur. Ce processus distingue (a) mise à jour trimestrielle (intégrée à la revue) et (b) mises à jour hors-cadence déclenchées par événements.
Le contenu du gabarit
À adapter. Court (1 page). L'enjeu est de tenir la discipline : ni gel, ni instabilité.
Processus de mise à jour de la politique — [Nom de l'organisation]
En vigueur depuis : ______________________ Prochaine révision : [date + 12 mois] Personne-référence IA : ______________________
Les 2 cadences
Cadence 1 — Mise à jour régulière (trimestrielle)
| Étape | Quand | Qui | Quoi |
|---|---|---|---|
| 1 | 2 semaines avant la revue | Personne-référence | Relit la politique et identifie 0-3 points à ajuster |
| 2 | Pendant la revue | Personne-référence + Direction + champions | Discute, valide ou écarte |
| 3 | Semaine suivante | Personne-référence | Met à jour, change la date « en vigueur », diffuse |
| 4 | Mois suivant | Personne-référence | Vérifie que les changements sont compris |
Règle d'or : si aucun point ce trimestre, ne pas changer pour changer. Documenter « pas de mise à jour ce trimestre » est aussi valable.
Cadence 2 — Mises à jour hors-cadence (déclencheurs)
| Déclencheur | Délai cible | Action |
|---|---|---|
| Incident majeur (fuite cat. 3-4, hallucination livrée avec impact réputationnel ou financier) | 2 semaines | Mini-revue (1 h, format simplifié). Mise à jour pour prévenir la récurrence. |
| Changement réglementaire (Loi 25, directive CAI, norme sectorielle) | 4 semaines | Analyse d'impact (consulter CAI / juriste au besoin), mise à jour, communication |
| Changement contractuel client (nouveau client avec exigences IA, bailleur avec code de conduite IA) | 4 semaines | Annexe sectorielle, mise à jour liste d'outils, communication aux personnes concernées |
| Ajout d'un outil majeur (activation Copilot, achat famille B) | 2 semaines | Mise à jour liste d'outils, ajout session literacy si nécessaire, annonce |
| Changement de ToS d'un outil approuvé (Microsoft, OpenAI, Anthropic, Google) | 4 semaines | Évaluation via criteres-selection-outils.md. Si non-conforme, retrait et communication. |
Processus de mise à jour (étapes communes)
| # | Étape | Détail |
|---|---|---|
| 1 | Identification | Personne-référence (ou employé qui signale) constate le besoin |
| 2 | Analyse | Ampleur : mineur (reformulation) / majeur (nouvelle règle) |
| 3 | Consultation | Si majeur : direction + 1-2 champions + employés concernés (≤ 1 h) |
| 4 | Rédaction | Édition directe (mineur) ou versionnage v1.0 → v1.1 (majeur) |
| 5 | Validation direction | Signature (5 min) |
| 6 | Diffusion | Annonce en équipe (≤ 5 min) + canal IA, résumé des changements |
| 7 | Archivage | Version précédente archivée (utile pour audit) |
Cas particuliers
Reprise après pose (la PME a sauté un trimestre)
Pas d'urgence artificielle. Reprendre au trimestre suivant sans faire 2 revues d'un coup. Indiquer : « pas de revue T_n_, reprise T_n+1_ ; aucun déclencheur hors-cadence pendant la pose ».
Conflit entre déclencheurs
Plusieurs déclencheurs simultanés → traiter ensemble en une seule mise à jour. Délai : le plus court des deux.
Désaccord en consultation
Désaccord sérieux direction/équipe → ne pas trancher seul : le sujet remonte à la revue trimestrielle suivante. Pendant l'attente, maintenir la version actuelle.
Comment l'utiliser
- Adaptation (20 min) : ajustez les délais (ex. client unique très exigeant → raccourcir « changement contractuel » à 2 semaines).
- Diffusion : annexer à la politique. La personne-référence est responsable de l'application.
- Au quotidien : mini-journal (Excel/OneNote) des déclencheurs potentiels. Pas d'action immédiate → traitement en revue.
- Si hors-cadence : activation immédiate. Pas d'inertie organisationnelle qui retarde d'un mois pour respecter le calendrier.
- Documentation : chaque mise à jour consignée (version, date, changements, déclencheur). Utile en audit ISO 9001, audit client aérospatial/défense/retail, audit ACIA agroalimentaire.
Exemple ancré — Pièces & Précision Drummondville (60 personnes). Marc traite un hors-cadence T2 : un employé bureau a soumis par erreur un fragment de plan technique d'un client aérospatial standard (pas ITAR mais NDA) à ChatGPT gratuit pour générer un brouillon. Incident détecté lors d'une discussion entre collègues. (1) Identification = oui, signalé dans les 48 h ; (2) Analyse = mineur factuellement (pas d'impact externe détecté), signal d'un trou (les soumissions techniques pas explicitement couvertes). (3) Consultation : 30 min avec l'ingénieur ventes-techniques, 15 min avec François. (4) Rédaction : mention explicite dans l'annexe ITAR sur les fragments de plans même non-ITAR ; prompt dédié dans la bibliothèque (« brouillon de soumission technique — données anonymisées uniquement »). (5) François signe. (6) Diffusion : 5 min en réunion d'équipe le lundi, ton apprentissage sans blâme. (7) Archivage v1.0 → v1.1. Délai total : 11 jours. Post-mortem sans blâme, sécurité psychologique préservée.
Quand revisiter
Le processus se révise annuellement (délais tenables ? bons déclencheurs ?). Hors-cadence : si un type de déclencheur n'est pas couvert.
Ressources liées
kpis-minimaux.md(KPI 4 alimente les déclencheurs)templates/01-gouvernance/politique-usage-acceptable.mdtemplates/01-gouvernance/revue-trimestrielle.mdtemplates/03-selection-outils/criteres-selection-outils.mdtemplates/02-classification-donnees/grille-classification.mdtemplates/07-conduite-changement/plan-communication-interne.md- CAI : https://www.cai.gouv.qc.ca/
- OBVIA — Gouvernance des données et IA : https://www.observatoire-ia.ulaval.ca/