Le principe fondamental
Ne mettez JAMAIS de données confidentielles de clients ou de votre entreprise dans un outil IA externe (ChatGPT, Claude, Gemini en version publique). Ces outils peuvent stocker vos données et potentiellement les exposer. De plus, les informations seront traitées, la plupart du temps, à l'extérieur du Canada.
La Loi 25 et l'utilisation de l'IA
Depuis septembre 2023, l'utilisation d'outils d'IA avec des données de clients constitue un « traitement » au sens de la loi. Vous devez obtenir le consentement approprié, désigner un responsable de la protection des renseignements personnels et signaler tout incident de confidentialité à la CAI si risque de préjudice sérieux.
Produit consommateur vs API vs cloud privé
Avant de choisir un outil, comprenez la différence fondamentale entre les modes d'accès :
| Mode d'accès | Entraînement des modèles | Exemples |
|---|---|---|
| Consommateur gratuit | Oui, par défaut | ChatGPT Free, Claude Free, Gemini Free |
| Consommateur payant | Oui, par défaut (opt-out possible) | ChatGPT Plus/Pro, Claude Pro/Max, Gemini Advanced |
| Entreprise / API | Non, garanti contractuellement | ChatGPT Team/Enterprise, API OpenAI, API Anthropic, Claude for Work |
Les versions payantes « consommateur » (ChatGPT Plus, Claude Pro, Gemini Advanced) ne sont PAS équivalentes aux versions entreprise ou API. Vos données peuvent être utilisées pour l'entraînement, sauf si vous désactivez cette option manuellement dans les paramètres. Seules les versions Team/Enterprise et l'accès API offrent des garanties contractuelles.
Classification des données en 4 niveaux
| Niveau | Exemples | Outils suggérés |
|---|---|---|
| PUBLIC | Normes NCECF publiées, lois fiscales, concepts comptables | Tous les outils IA |
| INTERNE | Procédures du cabinet, gabarits, méthodologies | Versions payantes avec opt-out d'entraînement |
| CONFIDENTIEL | Données clients anonymisées, analyses sectorielles | API directe (OpenAI, Anthropic, Gemini), API privée ou déploiement local |
| HAUTEMENT SENSIBLE | NAS, NEQ, données financières nominatives, etc. | AUCUN outil IA externe, sauf après analyse de risque approfondie |
Anonymisation : la technique de substitution
Le principe : remplacer les éléments identifiants par des équivalents génériques tout en préservant le sens.
| Donnée originale | Remplacement |
|---|---|
| Nom du client (Entreprise ABC Inc.) | « Client A » ou « une PME du secteur X » |
| NAS / NEQ | « [retiré] » |
| Montants précis (547 832 $) | Arrondis (~550 000 $) ou ordres de grandeur |
| Noms de dirigeants | « Le président », « directeur financier » |
| Adresses complètes | Ville seulement si nécessaire |
| Dates précises sensibles | « Premier trimestre », « fin d'exercice » |
Exemple avant/après
Le test du journal
Avant de soumettre votre prompt, demandez-vous : « Si ce texte était publié dans un journal, pourrait-on identifier mon client ou mon entreprise ? » Si oui — anonymisez davantage.
QUIZ : Un CPA veut utiliser ChatGPT pour analyser les états financiers de Construction ABC Inc. (NEQ 1187654329), revenus de 4 237 891 $. Quel est le niveau de classification ?
A. PUBLIC — librement utilisable
B. INTERNE — versions payantes avec opt-out
C. CONFIDENTIEL — API privée seulement
D. HAUTEMENT SENSIBLE — aucun outil IA externe ✓
Explication : Les données financières nominatives (nom, NEQ, montants précis) sont HAUTEMENT SENSIBLES. Le CPA devrait anonymiser : « une entreprise de construction, CA d'environ 4 M$ ».
Documentez chaque utilisation d'IA dans vos dossiers. Adaptez le niveau de documentation au risque du livrable.