Êtes-vous prêt à encadrer l'IA dans votre PME ?

Notre organisation a un énoncé de direction écrit sur l'usage de l'IA.

Nous avons une liste explicite des outils d'IA approuvés pour usage professionnel.

Une personne est formellement responsable des questions de gouvernance IA.

Nous savons quels usages d'IA sont en cours dans notre organisation (incluant les usages non officiels).

Notre énoncé est revu au moins une fois par année.

Nous avons désigné un responsable de la protection des renseignements personnels (RPRP).

Le RPRP est identifié sur notre site web et joignable par les personnes concernées.

Nous avons un inventaire des renseignements personnels que nous détenons.

Nos employés savent qu'ils ne doivent jamais coller de renseignements personnels dans des outils d'IA non approuvés.

Pour les décisions automatisées, nous informons les personnes concernées et leur permettons de présenter des observations.

Nous faisons une ÉFVP (évaluation des facteurs relatifs à la vie privée) avant tout nouveau projet IA touchant des renseignements personnels.

Pour chaque outil d'IA approuvé, nous savons précisément où les données sont hébergées physiquement.

Pour les données sensibles ou personnelles, nous utilisons des outils hébergés au Canada.

Nous avons une garantie contractuelle écrite que nos données ne sont pas utilisées pour entraîner des modèles.

Nous avons une matrice qui associe la classification des données aux outils permis.

Nous avons évalué notre exposition aux juridictions tierces (CLOUD Act ou équivalent) pour nos outils d'IA.

L'authentification forte (MFA) est activée sur tous nos comptes d'outils d'IA professionnels.

Nos employés utilisent uniquement des comptes professionnels (jamais des comptes personnels gratuits) pour le travail.

Nous évaluons la posture de sécurité de nos fournisseurs d'IA avant de signer.

Nous avons une procédure documentée de gestion d'incident liée aux outils d'IA.

Les accès aux outils d'IA sont désactivés rapidement quand un employé quitte.

Nous avons un registre des systèmes d'IA utilisés dans l'organisation.

Chaque cas d'usage IA est classifié par niveau de risque (faible / modéré / élevé / critique).

Les mesures de contrôle sont proportionnelles au niveau de risque (pas uniformes).

Aucun livrable client n'est envoyé sans révision humaine, peu importe l'outil utilisé.

Pour les décisions affectant des personnes, nous avons un mécanisme de révision et de recours.

Nous avons lu et compris les conditions d'utilisation des outils d'IA que nous approuvons.

Notre code source et nos secrets commerciaux ne transitent jamais par des outils dont les conditions ne garantissent pas leur confidentialité.

Nos contrats clients clarifient la propriété des livrables produits avec assistance IA.

Nous divulguons l'usage de l'IA aux clients quand cet usage est matériel.

Tous nos employés ont reçu une formation IA dans la dernière année.

La formation IA est obligatoire avant de recevoir l'accès aux outils approuvés.

Nos gestionnaires ont reçu une formation supplémentaire sur la gouvernance IA.

Les employés savent à qui s'adresser quand ils ont un doute sur un usage d'IA.

Notre culture encourage les employés à signaler les incidents ou les usages problématiques sans crainte de réprimande.