Le principal défi pour les organismes publics québécois est de naviguer une véritable tempête réglementaire. Entre la Loi 25, la modernisation de la LGGRI et les nouvelles directives sur l’intelligence artificielle, on doit piloter dans un écosystème dense sans une vision claire des coûts réels et des efforts humains que cela implique vraiment.
Loin d’être une simple dépense ponctuelle, la conformité s’est transformée en une véritable « économie » interne. Elle est composée de coûts récurrents bien observables : le temps de notre personnel, les audits, les évaluations de risques, la formation et la mise en place d’une gouvernance structurée qui, elle aussi, demande des ressources.
Cet article propose donc un cadre d’analyse pour mettre en lumière ces coûts souvent cachés dans le quotidien. L’objectif est de permettre aux gestionnaires de mieux planifier leurs budgets, d’allouer les bonnes ressources et, surtout, d’éviter les mauvaises surprises.
Pourquoi la conformité numérique est-elle devenue un tel casse-tête budgétaire ?
Pour bien comprendre les coûts, il faut d’abord saisir le contexte. Ce qui était autrefois une simple tâche administrative est devenu un enjeu stratégique et financier majeur pour chaque organisme public au Québec. Les règles du jeu ont changé, et les migraines des gestionnaires avec.
La pression actuelle ne vient pas d’une seule loi, mais de la convergence d’un véritable écosystème réglementaire où tout se tient. On parle de la modernisation de la Loi sur la gouvernance et la gestion des ressources informationnelles (LGGRI), de l’entrée en vigueur complète des dispositions de la Loi 25 sur la protection des renseignements personnels, et des nouvelles directives encadrant l’intelligence artificielle (IA). Loin d’être des silos indépendants, ces cadres forment une toile d’exigences qui se chevauchent et se renforcent mutuellement.
Souvent, on perçoit mal la nature de ces dépenses. Les coûts de conformité ne sont pas des coûts de projet uniques, avec un début et une fin. Ce sont des charges opérationnelles continues. Elles mobilisent du personnel bien au-delà du département des technologies de l’information. La conformité s’apparente moins à l’achat d’un logiciel qu’à l’entretien permanent d’une infrastructure critique, comme un pont ou un réseau électrique. On ne le construit pas une fois pour l’oublier ensuite.
L’émergence rapide de l’IA générative a tout accéléré. Elle a forcé le gouvernement à adopter une approche plus centralisée et prudente, comme on l’a vu avec la suspension temporaire de certains projets. Cet épisode illustre un changement de fond : la gouvernance numérique n’est plus une formalité administrative, c’est devenu un prérequis absolu à l’innovation.
Mais alors, une fois le contexte posé, où se cachent précisément ces coûts dans le quotidien d’un organisme ?
Quels sont les coûts concrets de cette économie de la conformité ?
Cette fameuse « économie de la conformité » peut être décomposée en plusieurs catégories de dépenses bien réelles. L’objectif ici est de rendre visible ce qui est souvent un travail de l’ombre, un effort diffus qui pèse lourd sur les opérations sans toujours apparaître clairement dans les budgets.
Les coûts humains et la gouvernance : qui paie la facture en temps ?
Les nouvelles lois imposent des structures, et ces structures sont faites de gens. Leur temps, c’est de l’argent. La Loi 25, par exemple, formalise et élève cette fonction en obligeant les organismes publics à former un comité sur l’accès à l’information et la protection des renseignements personnels. Il faut aussi désigner formellement un Responsable de la protection des renseignements personnels.
Ces rôles ne sont pas symboliques. Ils représentent une charge de travail additionnelle qui, bien souvent, est absorbée par le personnel déjà en place. Plutôt que de nouvelles embauches, on ajoute des responsabilités, ce qui crée une friction organisationnelle et détourne des gestionnaires de leurs tâches principales. C’est un coût indirect, mais bien réel.
Les activités obligatoires : plus que de la simple paperasse ?
Au-delà des structures, les réglementations imposent une série d’activités récurrentes. Ce ne sont pas des options; ce sont des postes de dépenses inévitables qu’il faut intégrer dans la planification annuelle.
Audits de sécurité périodiques Conformément à l’article 16.6.2 de la LGGRI, chaque organisme public doit réaliser un audit de sécurité tous les cinq ans. Cela se traduit soit par des frais de consultation externe importants, soit par la mobilisation quasi complète des équipes de sécurité internes pendant des semaines.
Évaluations des facteurs relatifs à la vie privée (ÉFVP) La Loi 25 rend les ÉFVP obligatoires pour tout nouveau projet touchant des renseignements personnels ou leur communication hors du Québec. Loin d’être un simple formulaire, c’est un exercice d’analyse complexe et chronophage qui exige une collaboration entre les équipes juridiques, technologiques et d’affaires.
Tenue de registres L’effort de documentation est continu. Il faut maintenant maintenir un registre des incidents de confidentialité (Loi 25), un inventaire des actifs informationnels (art. 13 de la LGGRI), ainsi qu’un registre de classification des données selon le nouveau modèle du gouvernement. Ce travail de moine n’est jamais vraiment terminé.
Les outils et la technologie : faut-il tout changer ?
La conformité n’est plus une réflexion après coup; elle dicte maintenant les choix technologiques dès le départ. Le respect des cadres légaux, surtout en matière d’IA, peut nous forcer à investir dans des solutions spécifiques, plus coûteuses, mais plus sûres.
Le guide d’application sur l’IA générative l’illustre parfaitement. La matrice d’utilisation est claire : il est interdit d’utiliser des outils publics comme ChatGPT pour traiter des données de niveau « Protégé A » ou « Protégé B ». Cette contrainte force les organismes à investir dans des systèmes « en circuit fermé » ou « souverains », ce qui représente un coût d’acquisition et d’opération direct et significatif.
La formation et les compétences : comment se mettre à niveau ?
On ne peut pas être conforme sans être compétent. L’Énoncé de principes du gouvernement est très clair sur ce point : le principe de « Compétence » exige la mise en place de programmes de formation formels pour le personnel qui utilise l’IA.
Ce coût a deux facettes. D’un côté, le coût direct de l’achat de formations ou du développement de matériel pédagogique. De l’autre, le coût indirect, mais tout aussi important, du temps de travail que les employés doivent consacrer à se former plutôt qu’à produire.
Constat d’expert : L’effet multiplicateur des cadres réglementaires Sur le terrain, on observe un phénomène crucial : les cadres réglementaires ne s’additionnent pas, ils se multiplient. Prenons un projet simple en apparence, comme le déploiement d’un agent conversationnel pour répondre aux questions internes des employés. Ce seul projet active simultanément les obligations de la LGGRI (pour la gestion de projet et des actifs), de la Loi 25 (ÉFVP, gouvernance des données personnelles) et des directives sur l’IA (gestion des risques, supervision humaine). C’est cet effet multiplicateur qui crée une charge de travail et des coûts souvent largement sous-estimés lors de la planification.
Face à cette accumulation d’exigences, la question n’est plus de savoir s’il faut se conformer, mais comment le faire de manière stratégique et soutenable.
Comment naviguer cette nouvelle réalité sans y laisser sa peau ?
Malgré la complexité et les coûts bien réels, la conformité n’est pas une fatalité. Abordée de manière proactive et intégrée à la stratégie de l’organisme, elle peut même devenir un levier de saine gestion, de confiance et d’innovation durable.
Ce qu’on doit retenir, c’est que la conformité numérique a changé de statut. Ce n’est plus une simple dépense informatique ou une ligne dans un rapport annuel. C’est désormais une fonction d’affaires stratégique, au même titre que les finances ou les ressources humaines. Son coût, parce qu’il est récurrent, doit être intégré aux budgets opérationnels annuels et non traité comme une dépense exceptionnelle.
Alors, quand faut-il utiliser cette grille d’analyse ? L’idéal est de s’en servir à deux moments clés : dès l’amorce de tout nouveau projet numérique et lors de la planification budgétaire annuelle. Il faut éviter à tout prix l’approche réactive, celle qui consiste à traiter la conformité comme une case à cocher à la toute fin d’un projet. C’est le meilleur moyen de faire exploser les coûts et les délais. Et rappelons-nous que le coût de la non-conformité, notamment les sanctions potentielles de la Loi 25, est infiniment plus élevé que celui de la prévention.
Je comprends que cette charge puisse paraître insurmontable, surtout pour des organismes aux ressources limitées. L’objectif n’est pas d’atteindre la perfection du jour au lendemain. Il s’agit plutôt d’adopter progressivement une culture de « conformité par conception » (compliance by design), où chaque décision, chaque processus est pensé en amont avec les exigences en tête. C’est un marathon qui demande de la planification et de l’endurance, pas un sprint effréné.
