Directive IA Québec : 5 exigences avant l'échéance du 5 juin 2026
· 6 min de lecture · Gouvernance IA
À 12 jours de l'échéance du 5 juin 2026, la directive ministérielle québécoise sur l'IA générative dans l'administration publique impose cinq obligations contraignantes à tous les organismes assujettis à la LGGRI. Décryptage pour les dirigeants et les fournisseurs privés.
La directive ministérielle québécoise sur l'utilisation responsable des technologies d'intelligence artificielle (IA) générative est un arrêté contraignant pris par le ministère de la Cybersécurité et du Numérique (MCN), qui impose à tous les organismes publics du Québec un cadre de gouvernance détaillé pour la conception, le déploiement et l'exploitation des systèmes d'IA. Publiée le 19 décembre 2025 sous la forme d'un arrêté ministériel révisé daté du 3 décembre 2025 et d'un avis d'application daté du 5 décembre 2025, elle exige une conformité complète au plus tard le 5 juin 2026, soit dans 12 jours à la date de cet article (24 mai 2026).
Le texte s'appuie sur la Loi sur la gouvernance et la gestion des ressources informationnelles (LGGRI), chapitre G-1.03, qui confère au MCN le pouvoir d'édicter des règles techniques opposables aux ministères, aux municipalités, aux établissements de santé et aux sociétés d'État. Selon La Presse (24 janvier 2026), l'arrêté a été signé par le ministre Éric Caire à la suite de plusieurs incidents documentés d'usage non encadré de ChatGPT par des fonctionnaires québécois.
Quelles sont les 5 obligations clés avant le 5 juin 2026 ?
Selon le texte de l'arrêté ministériel et l'avis d'application publiés sur le portail Québec.ca, les organismes assujettis doivent satisfaire cinq exigences structurantes :
- Structure de gouvernance formelle (Article 3) : mise en place d'un comité IA interne, de processus écrits et de chaînes d'autorisation explicites pour tout déploiement de système d'IA générative.
- Formation préalable obligatoire (Article 11) : aucun employé ne peut utiliser un outil d'IA générative sans avoir suivi une formation documentée sur les risques (hallucinations, fuites de données, biais).
- Évaluation des facteurs relatifs à la vie privée systématique (Article 4) : une EFVP est exigée dès la conception du projet, même lorsque l'usage n'implique pas directement des renseignements personnels au sens de la Loi 25.
- Interdiction des données confidentielles dans les services publics d'IA (Article 19) : aucune donnée confidentielle (santé, renseignements personnels, secret professionnel, propriété intellectuelle) ne peut être saisie dans ChatGPT, Copilot ou tout service d'IA générative grand public.
- Conformité totale au 5 juin 2026 (Article 23) : l'arrêté prévoit une période transitoire de six mois à compter du 5 décembre 2025. Aucun report n'a été annoncé à la date du 24 mai 2026.
Quels organismes sont visés par la directive ?
L'arrêté ministériel couvre l'ensemble des entités assujetties à la LGGRI, soit plus de 250 organismes selon le périmètre habituel du Conseil du trésor du Québec. Trois grandes catégories sont concernées :
- Les ministères et organismes budgétaires du gouvernement du Québec
- Les établissements du réseau de la santé et des services sociaux (CHU, CISSS, CIUSSS), du réseau de l'éducation (universités, cégeps, commissions scolaires) et du réseau de l'enseignement supérieur
- Les sociétés d'État, dont Hydro-Québec, Investissement Québec, la Société des alcools du Québec et Loto-Québec
Les municipalités relèvent d'un cadre apparenté défini par le ministère des Affaires municipales et de l'Habitation, mais la trajectoire d'alignement avec la directive du MCN est fortement encouragée. Le Portrait 2025 des utilisations de l'IA dans l'administration publique a recensé une croissance de plus de 50 % des initiatives entre 2024 et 2025 selon le communiqué du gouvernement du Québec du 2 mars 2026, ce qui démultiplie le périmètre à mettre en conformité. Voir notre analyse du Portrait 2025.
Pourquoi cette échéance concerne aussi les fournisseurs privés ?
Tout fournisseur privé qui répond à un appel d'offres public ou qui livre une solution d'IA à un organisme assujetti doit aligner sa proposition sur le cadre imposé à l'acheteur. Trois conséquences pratiques s'imposent aux PME québécoises actives dans le secteur public :
- Documentation technique renforcée : description des jeux de données d'entraînement, mesures de mitigation des biais, plans de surveillance post-déploiement et clauses contractuelles d'incident
- Souveraineté des données prioritaire : la directive recommande explicitement les fournisseurs québécois ou canadiens lorsque des données confidentielles sont traitées, ce qui crée un avantage compétitif pour les solutions hébergées au Canada
- Conformité Loi 25 préalable : l'EFVP exigée par l'article 4 doit déjà être documentée dans la soumission, ce qui élève la barre à l'entrée pour les fournisseurs non préparés
Une évaluation préalable de la maturité IA permet d'identifier les écarts avant de soumissionner.
Comment se préparer à l'audit de conformité du DPI ?
À partir du 5 juin 2026, le dirigeant principal de l'information (DPI) du gouvernement du Québec et la Commission d'accès à l'information (CAI) disposent de leviers de contrôle accrus. Quatre actions opérationnelles structurent la préparation des dernières semaines :
- Cartographier les usages actuels d'IA dans l'organisme, y compris les usages informels (shadow IA) par les employés sur des comptes personnels
- Formaliser une politique d'utilisation alignée sur les 12 principes éthiques mentionnés par l'arrêté ministériel (inclusion, transparence, supervision humaine, souveraineté numérique)
- Déployer la formation obligatoire aux modules fournis par le gouvernement du Québec et tracer les attestations
- Documenter les EFVP pour chaque système d'IA en production ou en projet, avec mise à jour continue
L'enjeu opérationnel le plus sous-estimé reste la traçabilité des formations : sans preuve écrite de la formation pour chaque utilisateur, l'usage est non conforme à l'article 11, indépendamment de la qualité du système déployé.
Questions fréquentes
Qu'est-ce que la directive IA québécoise du 5 juin 2026 ?
Il s'agit d'un arrêté ministériel pris par le ministre de la Cybersécurité et du Numérique le 3 décembre 2025, complété d'un avis d'application du 5 décembre 2025 et publié le 19 décembre 2025. Il impose un cadre de gouvernance obligatoire pour l'utilisation de l'IA générative dans l'administration publique québécoise, avec conformité totale exigée au plus tard le 5 juin 2026.
Quels organismes doivent se conformer à la directive ?
Tous les organismes assujettis à la Loi sur la gouvernance et la gestion des ressources informationnelles (LGGRI), soit les ministères, les organismes budgétaires, les établissements des réseaux de la santé et de l'éducation et les sociétés d'État. Les municipalités relèvent d'un cadre apparenté mais distinct, défini par le ministère des Affaires municipales et de l'Habitation du Québec.
Que se passe-t-il si un organisme n'est pas conforme au 5 juin 2026 ?
L'arrêté n'est pas une recommandation volontaire mais une obligation légale opposable. Un organisme non conforme s'expose à un signalement par le DPI, à un suivi rapproché par la Commission d'accès à l'information (CAI) et à des conséquences administratives. La Loi 25 prévoit en parallèle des sanctions pécuniaires allant de 15 000 $ à 25 millions de dollars CAD, ou 4 % du chiffre d'affaires mondial, pour les manquements liés aux renseignements personnels.
Peut-on encore utiliser ChatGPT ou Copilot dans la fonction publique québécoise ?
Oui, à condition de respecter l'article 19 : aucune donnée confidentielle (renseignements personnels, données de santé, secret professionnel, propriété intellectuelle gouvernementale) ne peut être saisie dans ces services. L'utilisateur doit avoir suivi la formation prévue à l'article 11 et son organisme doit avoir documenté l'autorisation d'usage dans sa politique interne.
Sources
Voir tous les articles