Perquisition de prompts : Votre gouvernance numérique face aux nouvelles réalités de l'IA

10 novembre 2025 · 12 minutes de lecture

Vos prompts ne sont pas protégés

De nombreux clients se posent des questions sur la souveraineté numérique, la confidentialité des données sensibles et les risques posés par l'utilisation de l'IA en interne. Il paraît important de rappeler une vérité : votre empreinte numérique n'est pas à l'abri des regards. En octobre 2025, en guise de rappel, les autorités américaines ont émis un mandat de perquisition fédéral visant les données d'un utilisateur de ChatGPT. OpenAI a été contrainte de divulguer les enregistrements de conversation, métadonnées et informations de compte de cet utilisateur, soupçonné dans une enquête criminelle. Cette affaire nous rappelle qu'un prompt peut devenir un élément de preuve et être utilisé pour identifier une personne réelle.

Les entreprises québécoises et canadiennes adoptent massivement les outils d'IA générative pour rédiger, coder ou automatiser leurs processus. Chaque interaction avec ces systèmes laisse une empreinte numérique : historique des prompts, données techniques de connexion, et parfois des renseignements sensibles.

Pourquoi c'est important pour votre entreprise

Cette affaire, bien que s'appliquant à un particulier, soulève la question de l'accès à cette empreinte numérique d'une personne physique ou morale, dans le cadre d'une enquête ou d'un litige, civil ou pénal.

Or, il me paraît important de souligner qu'en droit civil la possibilité de découvrir les prompts de la partie adverse existe selon le Code de procédure civile (art. 251s). La mise en preuve des prompts dépendra en grande partie de leur pertinence par rapport aux questions en jeu.

Dans certains cas, les informations conservées sur vos serveurs, dans votre compte utilisateur ou par le fournisseur d'IA, peuvent être réquisitionnées par les autorités. Cela soulève donc des questions majeures de gouvernance, de protection des renseignements personnels et de responsabilité contractuelle pour les entreprises, qui sont responsables des pratiques de leurs employés au travail.

Certaines entreprises peuvent penser qu'interdire l'IA est la solution la plus appropriée, toutefois c'est sans compter sur le "shadow AI", à savoir l'utilisation non autorisée et non supervisée de l'IA par les employés. Comme les équipes juridiques et informatiques ignorent que ces systèmes sont utilisés, les employés peuvent, sans le savoir, exposer l'organisation à des risques importants en matière de sécurité des données, de conformité et de réputation de l'entreprise.

Leçons de gouvernance à retenir

Journalisation et conservation des prompts

Les IA génératives conservent généralement toutes les requêtes et réponses. Or ces journaux peuvent être utilisés à des fins de sécurité, de recherche, ou d'enquête. Une entreprise doit donc sélectionner puis cartographier les outils d'IA qu'elle autorise et définir des règles internes pour tout ce qui a trait à l'utilisation, conservation, destruction, etc des prompts et produits d'IA.

Politiques internes d'utilisation de l'intelligence artificielle

Chaque entreprise doit désormais encadrer l'utilisation de l'IA par ses employés, travailleurs autonomes et partenaires. En raison des risques importants d'une utilisation non encadrée, la direction doit être en mesure d'effectuer des choix éclairés sur les fournisseurs d'IA de l'entreprise et les bonnes pratiques que les gestionnaires doivent inculquer à leurs équipes, pour maximiser l'efficacité tout en minimisant les risques juridiques et opérationnels.

Conformité et protection des renseignements personnels

Utiliser de l'IA générative, comme celles de Mistral, Anthropic ou OpenAI, implique un transfert transfrontalier de renseignements, notamment vers les États-Unis, où les lois (FISA, Cloud Act) permettent l'accès gouvernemental aux données transmises. Pour rappel, dans le cadre de la mise en place d'outils d'IA manipulant des renseignements personnels, il est important de respecter les obligations de la Loi 25, avant de déployer ces outils. Il faut donc :

• Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) ;
• Documenter les garanties contractuelles avec le fournisseur ;
• Informer les clients et employés que leurs données peuvent être stockées à l'étranger ;
• Assurer une protection équivalente aux renseignements sur des serveurs hors de la province, que s'ils étaient restés au Québec.

Responsabilité contractuelle et diligence raisonnable pour les fournisseurs

Les conditions et politiques d'OpenAI précisent que l'entreprise peut accéder et divulguer les conversations des utilisateurs si la loi l'exige. Sur le site web, il existe même un compteur qui informe sur le nombre de requêtes faites par des autorités judiciaires à OpenAI. Cela signifie que toute donnée confidentielle introduite dans ChatGPT peut être légalement exposée. Dans la mesure du possible, les directions juridiques doivent négocier des clauses de notification et des engagements de confidentialité renforcés, ou songer à changer de fournisseur d'IA.

Peut-on perquisitionner nos prompts au Canada ?

Oui. Au Canada, le Code criminel (art. 487 et 487.012) permet déjà à un juge d'ordonner la saisie de données numériques détenues par un tiers fournisseur. Toutefois, la Charte canadienne, qui protège contre les fouilles abusives, impose que ces perquisitions soient raisonnables et proportionnées, et reposent sur des motifs sérieux.

Au Québec et au fédéral, la Loi 25 et PIPEDA ajoutent un niveau supplémentaire de contrôle : avant tout transfert de renseignements personnels hors du Québec, l'entreprise doit évaluer les facteurs relatifs à la vie privée et s'assurer que la protection offerte à l'étranger est au moins équivalente. Dans le cas des services technologiques américains, cette équivalence est rarement possible, ce qui impose des mesures d'atténuation (chiffrement, anonymisation, politiques internes).

Bonnes pratiques de gouvernance des IA

Mettre en place une politique interne d'utilisation des IA

• Définir les cas d'utilisation et ce qui peut ou non être partagé dans un prompt.
• Interdire d'y insérer des données confidentielles, des renseignements personnels, des secrets d'affaires ou des informations client.

Documenter la conformité

• Réaliser une EFVP pour tout projet d'IA impliquant des renseignements personnels.
• Conserver une trace des décisions et justifications.

Former et sensibiliser les employés

• Expliquer les risques, personnels et pour l'entreprise, liés à la saisie de données dans un chatbot.
• Former sur les bonnes pratiques liées à la confidentialité, à la propriété intellectuelle et à la cybersécurité.

Choisir la bonne version du service

• Analyser les conditions de services d'IA et favoriser les versions enterprise ou déployées localement qui offrent un meilleur contrôle sur les données.
• Préférer les solutions hébergées au Québec, et à défaut au Canada, lorsque possible.

En résumé

Octobre 2025 et l'annonce officielle des perquisitions gouvernementales chez OpenAI est une piqûre de rappel pour la gouvernance numérique des organisations. Les données d'une IA peuvent devenir des preuves judiciaires et la confidentialité des prompts n'est pas absolue. Pour se protéger, les entreprises doivent adapter leurs politiques liées à l'utilisation interne de l'IA par leurs employés et dirigeants. De mon expérience, en matière de gouvernance, la prudence proactive vaut mieux que la réaction légale a posteriori.

Si vous désirez mettre en place de bonnes pratiques protégeant votre organisation contre les dérives de l'IA, Satoshi Legal accompagne de nombreuses PME québécoises avec leurs enjeux technologiques. Nous assistons pour l'implémentation de nouvelles technologies et participons à la mise en place d'une gouvernance des données, incluant la protection des renseignements personnels et l'utilisation de l'IA par les équipes internes.