Qu'est-ce que la Loi 25?

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LQ 2021, ch. 25) modernise la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. Elle est entrée pleinement en vigueur le 22 septembre 2023.

S'applique-t-elle à toute organisation au Québec?

Oui, à toute personne qui exploite une entreprise au Québec et qui recueille, détient, utilise ou communique des renseignements personnels — peu importe sa taille.

Quelles sont les sanctions maximales?

Jusqu'à 25 M$ ou 4 % du chiffre d'affaires mondial — la plus élevée des deux. La CAI peut aussi imposer des sanctions administratives pécuniaires (SAP).

Un fournisseur IA américain est-il acceptable sous Loi 25?

Pas par défaut. La Loi 25 exige une évaluation préalable des transferts hors-Québec et impose des contrats avec des clauses de protection équivalentes. Un fournisseur exposé au CLOUD Act ne peut généralement pas offrir d'équivalence.

Guide pratique · vulgarisation LysAI

La Loi 25 appliquée à l'IA.

Ce guide n'est pas un avis juridique. Il est un point de départ honnête et pragmatique pour comprendre comment la Loi 25 du Québec encadre l'IA dans votre organisation.

Faire l'audit en 12 questions Discuter avec LysAI

01 · Le cadre

Ce que la Loi 25 dit, en deux paragraphes.

La Loi 25 (officiellement Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a été adoptée en septembre 2021 et est entrée en pleine application le 22 septembre 2023. Elle modernise la loi québécoise sur la protection des renseignements personnels dans le secteur privé et s'inspire largement du RGPD européen, avec des adaptations locales.

Elle impose neuf grandes obligations : désigner un responsable de l'accès, tenir un registre des incidents, mener des évaluations des facteurs relatifs à la vie privée (EFVP), publier une politique transparente, obtenir un consentement explicite, encadrer les sous-traitants, garantir l'exercice des droits (accès, rectification, retrait, portabilité, oubli), encadrer les décisions automatisées, et notifier sous 72 heures les incidents à risque sérieux à la CAI.

02 · Six obligations qui touchent l'IA

Là où ça pique vraiment.

Évaluation préalable des facteurs relatifs à la vie privée (EFVP). Tout projet IA impliquant des renseignements personnels — y compris un agent qui lit un courriel client — déclenche l'obligation d'une EFVP documentée. Conservez-la 5 ans minimum.
Sous-traitance encadrée. Chaque fournisseur (LLM, vector DB, outil d'analyse) est un sous-traitant au sens de la Loi. Le contrat doit nommer les finalités, durée, conditions de sécurité, notification d'incident, et destruction des renseignements à la fin.
Transferts hors-Québec. Avant d'envoyer un renseignement à l'extérieur du Québec, vous devez vérifier que l'État d'accueil offre un niveau de protection « adéquat ». Les États-Unis ne le sont pas (CLOUD Act, FISA 702). En pratique, un fournisseur IA US doit signer des clauses contractuelles renforcées — et même là, des juristes québécois contestent la suffisance.
Décisions automatisées. Si une décision significative (prêt, embauche, prime d'assurance, autorisation d'accès) est prise uniquement par un système automatisé, la personne concernée a le droit (a) d'en être informée à l'avance, (b) d'obtenir les principaux facteurs ayant mené à la décision, (c) de demander une intervention humaine.
Registre des incidents. Tout incident de confidentialité (perte, accès non autorisé, divulgation, vol) doit être consigné — même mineur. La CAI peut en demander l'extrait à tout moment.
Notification 72 heures. Si l'incident présente un « risque sérieux » (préjudice physique, atteinte à la réputation, perte financière, vol d'identité), vous devez notifier la CAI et les personnes concernées sans délai. Pratique observée : les autorités exigent une notification dans les 72 heures, par analogie au RGPD.

03 · Le piège des hyperscalers

Pourquoi « Azure Canada » ne suffit pas.

Trois fournisseurs cloud opèrent des régions canadiennes : Microsoft Azure (Canada Central, Canada East), AWS (ca-central-1), Google Cloud (montreal1, toronto1). Sur le papier, vos données sont physiquement au Canada. En droit, ces régions sont opérées par des filiales canadiennes de sociétés-mères américaines, soumises au CLOUD Act.

Concrètement, le département de la Justice américain peut contraindre la société-mère à produire des données opérées par sa filiale canadienne, même si ces données sont physiquement à Toronto ou à Montréal. Cette exposition juridique persiste peu importe ce que le contrat dit.

Pour LysAI, cette analyse a deux conséquences pratiques : (a) toute notre opération est hébergée chez OVHcloud Beauharnois, opérée par OVH France, sans filiale américaine soumise au CLOUD Act, et (b) notre inférence IA est exécutée à RunPod Montréal, sur une infrastructure documentée publiquement.

04 · Ce que la CAI regarde en pratique

Les six dossiers d'audit.

Politique de vie privée publiée et à jour, rédigée en termes simples.
Registre des incidents tenu et accessible.
Liste des sous-traitants et copies des contrats les liant.
EFVP archivées (incluant celles déclenchées par les projets IA).
Procédure documentée de notification 72 heures.
Trace des demandes d'accès/rectification et de leur délai de réponse.

05 · Trois actions concrètes cette semaine

Faites l'audit en 12 questions de LysAI pour situer votre maturité.
Dressez la liste de vos sous-traitants IA et vérifiez leur résidence des données.
Ouvrez votre registre des incidents (Notion, fichier signé, peu importe — mais ouvrez-le).

06 · Pour aller plus loin

Site officiel de la Commission d'accès à l'information du Québec (CAI)
Texte intégral de la LPRPSP (mise à jour par la Loi 25)
Notre pièce pilier — pourquoi un LLM québécois ne suffit pas
Notre architecture documentée (sous-traitants, régions, contrats)
Notre politique de vie privée (un exemple de page Loi 25 conforme)