Skip to content Skip to content

Journal · note · 26 mai 2026 · 7 min

Loi 25 et IA : ce que beaucoup d'agences oublient

Le badge « conforme Loi 25 » sur un site d'agence n'est pas une EFVP. Voici sept trous que nous voyons encore en 2026 — chez nos clients comme chez nos pairs.

Audit Loi 25 gratuitPilier Loi 25 + IA

Comment se conformer à la Loi 25 avec un fournisseur IA? Avant tout déploiement — chatbot, copilote, intégration API — votre organisation (ou votre agence pour votre compte) doit produire une EFVP, des contrats sous-traitants, un registre d'incidents et un recours humain documenté. Le guide complet est dans notre pilier Loi 25 et IA. Cette note liste ce que beaucoup d'agences oublient quand elles livrent de l'IA au Québec.

01

Le badge sans la documentation.

« Conforme Loi 25 » sur une page d'accueil n'est pas une EFVP signée par le RPRP du client. Sans art. 3.3 documenté, la CAI considère le système non évalué — peu importe le talent de l'équipe de développement.

02

Le sous-traitant américain « oublié ».

L'agence intègre GPT-4 ou Claude via API. Le contrat client mentionne l'agence — pas OpenAI/Anthropic. Or c'est le fournisseur de modèle qui traite les prompts. Sans clause Loi 25 et sans évaluation de transfert hors Québec, le client hérite du risque CLOUD Act sans le savoir. Voir pourquoi « Canada Central » ne suffit pas.

03

Shadow AI livré comme feature.

Livrer un chatbot sans politique d'usage interne, c'est inviter les employés du client à continuer avec ChatGPT en parallèle — souvent avec plus de données sensibles. Shadow AI reste la cause #1 d'infraction involontaire en 2025–2026. Documentez le canal approuvé ou interdisez explicitement le reste.

04

Aucun registre d'incidents.

Art. 3.8 — obligatoire. Un prompt client fuité vers un modèle public, une mauvaise indexation RAG, une réponse hallucinée avec nom + dossier : ce sont des incidents à consigner. Les agences qui livrent sans modèle de registre laissent le client nu face à la CAI.

05

Le responsable protection des renseignements tenu à l'écart.

Le responsable de la protection des renseignements personnels (RPRP) doit valider l'EFVP et les contrats avant le go-live. Beaucoup de projets IA « agiles » shippent en production, puis demandent au juridique de ratifier — à l'envers de la Loi 25.

06

Décisions automatisées sans recours.

Art. 12.1 — tri automatique, scoring, recommandation de refus : si une personne est affectée, elle doit pouvoir présenter des observations et obtenir un recours humain. Les POC livrés en deux semaines omettent souvent cette fiche — pourtant explicite dans le pilier Loi 25 et IA.

07

Marketing « hébergé au Québec » sans fiche.

Afficher Beauharnois sur un slide sans publier la table des sous-traitants (modèle, inférence, support, analytics) ne répond pas à une due diligence RPRP. LysIA publie la sienne sur /infrastructure — pas comme modèle juridique, mais comme preuve que c'est faisable.

Checklist agence

Avant de livrer chez un client.

  1. EFVP co-signée ou en approbation RPRP client.
  2. Contrats sous-traitants IA (modèle + hébergeur + agence).
  3. Registre incidents + procédure notification CAI.
  4. Politique shadow AI + canal approuvé documenté.
  5. Fiche recours humain art. 12.1 si décision automatisée. Diagnostic rapide : /audit-loi-25 (12 questions, gratuit).

Pour aller plus loin

FAQ

Questions fréquentes.

Comment se conformer à la Loi 25 quand on utilise un fournisseur IA?

Documenter EFVP (art. 3.3), contrats sous-traitants IA, registre des incidents (art. 3.8), recours humain sur décisions automatisées (art. 12.1), et évaluation des transferts hors Québec — avant le go-live. Audit gratuit : lysia.ca/audit-loi-25. Pilier : /journal/loi-25-ia.

Quelles sont les erreurs les plus fréquentes des agences IA au Québec?

Badge « conforme Loi 25 » sans EFVP signée, sous-traitants US sans évaluation CLOUD Act, shadow AI toléré chez le client, absence de registre d'incidents, RPRP non impliqué avant déploiement, et marketing de « hébergé au Canada » sans fiche sous-traitant complète.

Une agence peut-elle être sous-traitant Loi 25 pour un client?

Oui — l'agence devient sous-traitant si elle traite des renseignements personnels pour le compte du client. Contrat écrit obligatoire (art. 3.4), clauses de sécurité, notification d'incidents, et interdiction de réutiliser les données pour entraîner un modèle sans consentement.

Faut-il une EFVP pour un chatbot livré par une agence?

Presque toujours oui, si le chatbot traite des renseignements personnels (courriels, dossiers, noms). L'EFVP doit nommer le fournisseur de modèle, le lieu d'inférence et la durée de rétention des prompts — pas seulement la fonctionnalité marketing.

Où trouver un guide complet Loi 25 + IA?

Pilier journal Lysia : /journal/loi-25-ia (EFVP, sous-traitants, shadow AI, CLOUD Act, sanctions CAI). Guide pratique : /loi-25. Audit 12 questions : /audit-loi-25.

Cookies & privacy

We do not use advertising cookies or third-party trackers. Anonymous, cookieless analytics (Plausible, hosted in Quebec). Online booking may use technical cookies when you schedule a meeting.

Privacy policy