Skip to content Skip to content

Journal · pilier · 26 mai 2026 · 18 min

Loi 25 et IA : ce que votre organisation doit documenter avant de déployer

Avant de déployer un agent IA ou d'autoriser ChatGPT au bureau, quatre obligations Loi 25 doivent être documentées — pas supposées.

Audit en 12 questionsGuide pratique

Qu'est-ce que la conformité Loi 25 pour un projet IA? C'est la documentation obligatoire — EFVP, contrats sous-traitants, registre des incidents, recours humain sur les décisions automatisées — avant qu'un employé colle un dossier client dans ChatGPT ou qu'un agent interne traite des renseignements personnels. Sans ces pièces, l'organisation expose ses dirigeants à des amendes CAI pouvant atteindre 25 M$ ou 4 % du chiffre d'affaires mondial. Depuis le 22 septembre 2023, la Loi 25 modernise la protection des renseignements personnels au Québec. Quand une organisation ajoute l'IA — agent interne, copilote, ou simple accès à ChatGPT — elle ne fait pas « juste de la tech ». Elle modifie un système de traitement soumis à la loi. Voici, en langage clair, ce que votre RPRP et votre direction doivent documenter avant le déploiement — pas après un incident ou une plainte à la Commission d'accès à l'information (CAI).

01 · EFVP

L'évaluation des facteurs relatifs à la vie privée.

L'article 3.3 exige une EFVP pour tout nouveau système (ou refonte substantielle) qui traite des renseignements personnels. Un projet IA qui ingère des courriels, des dossiers clients, des transcriptions ou des décisions automatisées déclenche presque toujours cette obligation. L'EFVP n'est pas une formalité. Elle doit nommer les finalités, les catégories de renseignements, les risques, les mesures de protection, et les droits des personnes. Pour l'IA, ajoutez explicitement : fournisseur de modèle, lieu d'inférence, durée de rétention des prompts, et mécanisme de recours humain. L'offre Découverte du Programme LysIA livre une EFVP prête à soumettre à votre RPRP — pas un modèle générique téléchargé sur Internet.

02 · Sous-traitants

Contrats avec les fournisseurs IA.

Chaque fournisseur IA (OpenAI, Anthropic, Microsoft, Google, ou un studio québécois) est un sous-traitant au sens de la Loi 25. Vous devez :

  • Signer un contrat écrit avec obligations de confidentialité et de sécurité.
  • Documenter la communication de renseignements hors Québec (art. 17).
  • Évaluer si la protection offerte est équivalente — difficile avec un acteur soumis au CLOUD Act.
  • Publier les informations requises dans votre politique de confidentialité. Le tableau ci-dessous résume les obligations minimales par type de fournisseur — à adapter avec votre avocat et votre RPRP.
    Élément contractuel Fournisseur US (SaaS IA) Studio québécois documenté
    Contrat écrit Loi 25 Obligatoire Obligatoire
    Évaluation transfert hors Québec Souvent défavorable (CLOUD Act) Documentable (OVH BHS + inférence QC)
    EFVP avant go-live Presque toujours Presque toujours
    Registre sous-traitants public Rare chez les US Attendu (ex. LysIA)
    Recours humain art. 12.1 À négocier explicitement Attendu si agent métier
    Le « shadow AI » — employés qui utilisent ChatGPT sans autorisation — est le scénario le plus fréquent d'infraction involontaire. La presse québécoise en a traité en mai 2026. La réponse n'est pas l'interdiction aveugle : c'est une politique claire plus une alternative québécoise documentée.
    Politique shadow AI minimale (modèle interne) :
  1. Interdiction d'introduire des renseignements personnels identifiants dans tout outil non approuvé.
  2. Liste blanche des outils autorisés (avec contrats sous-traitants signés).
  3. Canal approuvé pour les cas d'usage métier (assistant interne ou copilote hébergé au Québec).
  4. Formation annuelle + attestation signée par les employés à risque.
  5. Procédure d'incident si un employé reconnaît une fuite (art. 3.8).

03 · Décisions automatisées

Article 12.1 — le recours humain.

Dès qu'un système IA influence une décision concernant une personne (embauche, crédit, admission, refus de service), l'article 12.1 s'applique. L'organisation doit :

  1. Informer la personne que la décision est automatisée.
  2. Lui permettre de présenter des observations.
  3. Sur demande, communiquer les facteurs pertinents et les renseignements utilisés.
  4. Offrir un recours humain — pas un chatbot qui confirme la décision du chatbot. C'est exactement ce que garantit le Pacte LysIA §1 : l'humain signe, toujours. Chaque agent LysIA a un superviseur nommé publiquement sur sa carte d'identité.

04 · RPRP et registre

Rôle du responsable et des incidents.

L'article 3.1 exige qu'une personne physique soit responsable de la protection des renseignements personnels (RPRP). Pour un projet IA, le RPRP n'est pas un rôle décoratif : il signe l'EFVP, valide les sous-traitants, et supervise le registre des incidents (art. 3.8). Incidents typiques en contexte IA :

  • Prompt contenant un nom + dossier client envoyé à un modèle public.
  • Index RAG mal configurée exposant des documents hors périmètre.
  • Journalisation de conversations sans politique de rétention.
  • Décision automatisée sans recours humain documenté. Chaque incident doit être consigné avec date, nature, gravité, mesures correctives, et notification CAI si le seuil de « préjudice grave » est atteint. La CAI publie des lignes directrices — votre registre doit être auditable sur 24 mois minimum. LysIA publie son propre registre consolidé dans le rapport de transparence H1 2026 — pas comme modèle juridique, mais comme preuve que la transparence opérationnelle est faisable.

05 · Transferts hors Québec

CLOUD Act et équivalence.

Stocker ou inférer au « Canada » chez un fournisseur américain ne suffit pas. Le CLOUD Act (2018) permet aux autorités américaines d'exiger des données détenues par une entité américaine — peu importe le datacenter. Pour un transfert hors Québec, la Loi 25 exige une évaluation préalable documentée. Un fournisseur exposé au CLOUD Act ne peut généralement pas démontrer une protection équivalente pour des dossiers sensibles (santé, notariat, finance, CPE). Alternative documentée : hébergement OVHcloud Beauharnois, inférence RunPod Montréal — voir /infrastructure pour la table publique des sous-traitants.

06 · Cas pratiques

Trois secteurs, trois pièges.

Notariat / immobilier. Un agent qui prépare une recherche de titre ingère des noms, adresses, numéros de lot et hypothèques — tous des renseignements personnels ou professionnels sensibles. EFVP obligatoire, contrat sous-traitant, inférence documentée au Québec. Voir aussi fonciq.ca (logiciel métier LysIA — immobilier). CPE / garderies. Photos d'enfants, ratios, dossiers parents : Loi 25 + RL-24. Un copilote IA sans EFVP ni politique de rétention des prompts est un risque réputationnel immédiat. Voir lecocon.ca. Municipalités / OBNL. Appels d'offres IA exigent souvent une preuve de résidence des données. « Hébergé au Canada » chez un hyperscaler US ne répond pas à la question de l'équivalence — il faut la fiche sous-traitant complète.

07 · Sanctions CAI

Ce qui se passe si vous shippez sans documentation.

La CAI peut imposer des sanctions administratives pécuniaires proportionnelles à la gravité, à la récidive et à la taille de l'organisation. Les plafonds législatifs atteignent 25 M$ ou 4 % du chiffre d'affaires mondial. En pratique, les premières vagues de plaintes IA au Québec (2025–2026) visent surtout :

  • Absence d'EFVP sur un nouveau système.
  • Transfert US non documenté (shadow AI ou SaaS générique).
  • Refus de donner accès aux facteurs d'une décision automatisée. La conformité n'est pas une case cochée une fois : chaque nouveau modèle, chaque nouvel agent, chaque nouvelle intégration API déclenche une réévaluation. C'est pourquoi LysIA publie des cartes d'identité versionnées par agent — le sous-traitant IA devient auditable comme n'importe quel autre.

08 · Checklist

Cinq documents avant le go-live.

  1. EFVP signée par le RPRP (ou en cours d'approbation).
  2. Registre des incidents de confidentialité (12 mois).
  3. Contrats sous-traitants IA avec clauses Loi 25.
  4. Politique d'usage interne (shadow AI interdit ou canal approuvé).
  5. Fiche de recours humain pour toute décision automatisée (art. 12.1). Notre audit public en 12 questions couvre ces points en cinq minutes. Gratuit, sans courriel.

Pour aller plus loin

FAQ

Questions fréquentes.

La Loi 25 s'applique-t-elle quand on utilise ChatGPT ou Claude au travail?

Oui, si des renseignements personnels de résidents du Québec sont traités. L'organisation doit documenter le sous-traitant, évaluer les risques de transfert hors Québec, et souvent mener une EFVP avant déploiement — surtout si des décisions automatisées sont impliquées (art. 12.1).

Qu'est-ce qu'une EFVP pour un projet IA?

Une évaluation des facteurs relatifs à la vie privée (Loi 25 art. 3.3) documente les finalités, les risques, les mesures de protection et les droits des personnes avant l'acquisition ou la refonte d'un système traitant des renseignements personnels — y compris l'IA et le profilage.

Un fournisseur IA américain est-il acceptable sous Loi 25?

Pas par défaut. Un fournisseur soumis au CLOUD Act ne peut généralement pas garantir une protection équivalente pour les transferts hors Québec. Une évaluation préalable documentée et des clauses contractuelles strictes sont requises — souvent insuffisantes pour des données sensibles.

Que dit la Loi 25 sur les décisions automatisées?

L'article 12.1 exige d'informer la personne, de lui permettre de présenter des observations, et sur demande de communiquer les facteurs pertinents et les renseignements utilisés. Un recours humain doit être possible.

Quelles sont les sanctions maximales?

Jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial — la plus élevée des deux — plus des sanctions administratives pécuniaires de la CAI.

Qu'est-ce que le shadow AI et pourquoi la CAI s'en préoccupe?

Le shadow AI désigne l'usage non autorisé d'outils génératifs (ChatGPT, Copilot, etc.) par des employés avec des données d'entreprise. C'est un traitement de renseignements personnels sans contrat sous-traitant, souvent sans EFVP — la cause la plus fréquente d'infraction involontaire en 2025–2026.

Qui doit nommer un responsable de la protection des renseignements personnels (RPRP)?

Toute entreprise qui collecte des renseignements personnels au Québec doit désigner un RPRP (art. 3.1). Pour un déploiement IA, le RPRP valide l'EFVP, les contrats sous-traitants et le registre des incidents avant le go-live.

Faut-il un registre des incidents de confidentialité pour l'IA?

Oui (art. 3.8). Tout incident présentant un risque de préjudice grave doit être consigné, évalué, et la CAI avisée si le seuil est atteint. Un prompt fuité vers un modèle public, une mauvaise indexation RAG ou une fuite de dossier client sont des incidents typiques.

Un hébergement « au Canada » chez Microsoft ou AWS suffit-il?

Non pour démontrer l'équivalence hors Québec. Les filiales canadiennes des hyperscalers américains restent soumises au CLOUD Act. La résidence physique des serveurs ne suffit pas — il faut analyser la juridiction légale du sous-traitant.

Comment LysIA aide-t-il la conformité Loi 25 + IA?

Audit public (/audit-loi-25), guide pratique (/loi-25), infrastructure au Québec (/infrastructure), Pacte contractuel public (/pacte-lysia), et offre Découverte du Programme avec EFVP prête pour votre responsable de la protection des renseignements personnels.

Cookies & privacy

We do not use advertising cookies or third-party trackers. Anonymous, cookieless analytics (Plausible, hosted in Quebec). Online booking may use technical cookies when you schedule a meeting.

Privacy policy