Loi 25 du Québec et outils d'IA : Ce que toute entreprise opérant au Québec doit savoir
La Loi 25 du Québec s'applique à toute entreprise qui collecte des données de résidents québécois — y compris l'utilisation d'outils d'IA. Voici ce que la conformité exige réellement en 2026 et où la plupart des entreprises échouent.
À qui s'applique la Loi 25
La Loi 25 s'applique à toute entreprise qui recueille, détient, utilise ou communique des renseignements personnels concernant des personnes au Québec dans le cadre de l'exploitation d'une entreprise. Cette définition est volontairement large. Elle couvre les entreprises établies au Québec, les entreprises situées à l'extérieur du Québec qui recueillent des renseignements auprès de résidents québécois, et les entreprises qui exploitent des sites Web ou des applications utilisés par des résidents québécois — même si l'entreprise n'a aucune présence physique au Québec.
Si votre boutique en ligne expédie au Québec, si votre plateforme SaaS compte des abonnés québécois, ou si votre site Web recueille des adresses courriel de visiteurs québécois, la Loi 25 s'applique aux renseignements personnels que vous recueillez auprès de ces personnes québécoises. La portée territoriale est semblable à la portée extraterritoriale du RGPD, ce qui est délibéré — le Québec a explicitement modelé certains aspects de la Loi 25 sur le RGPD.
Les exigences clés que déclenche l'utilisation de l'IA
Évaluations des facteurs relatifs à la vie privée (ÉFVP)
La Loi 25 oblige les entreprises à réaliser une évaluation des facteurs relatifs à la vie privée avant de mettre en œuvre tout projet impliquant des renseignements personnels — y compris l'acquisition de technologie qui traitera des renseignements personnels. Si vous adoptez un nouvel outil d'IA qui traitera des renseignements sur des employés, des clients ou des résidents québécois, une ÉFVP est requise avant de le déployer.
Une ÉFVP en vertu de la Loi 25 n'est pas un simple exercice de case à cocher. Elle exige d'identifier quels renseignements personnels seront recueillis, comment ils seront utilisés, qui y aura accès, quels risques existent et quelles mesures sont en place pour atténuer ces risques. Pour les outils d'IA, cela inclut de comprendre où le traitement des données a lieu et si les données quittent le Québec ou le Canada.
De nombreuses entreprises ont adopté des outils d'IA au cours des deux dernières années sans réaliser d'ÉFVP. Il s'agit d'une lacune de conformité très courante et bien réelle.
Divulgation de la prise de décision automatisée
Lorsqu'une entreprise utilise des renseignements personnels pour prendre une décision automatisée qui affecte de façon significative une personne, la Loi 25 exige que la personne en soit informée, qu'on lui donne la possibilité de présenter ses observations, et dans certains cas, qu'on lui accorde le droit de faire réviser la décision par une personne.
Cette disposition n'est pas déclenchée par chaque utilisation de l'IA — utiliser l'IA pour rédiger des courriels marketing n'exige pas de divulgation de décision automatisée. Mais utiliser l'IA pour évaluer des candidats à un emploi, évaluer la solvabilité ou prendre des décisions sur l'admissibilité à un service l'exige.
Confidentialité par défaut
La Loi 25 exige la confidentialité par défaut — ce qui signifie que les paramètres par défaut de vos systèmes technologiques doivent être ceux qui offrent le plus haut niveau de protection de la vie privée.
Minimisation des données
Le principe de minimisation des données de la Loi 25 exige que les entreprises ne recueillent que les renseignements personnels nécessaires à la fin déclarée. Les outils d'IA qui demandent de larges autorisations d'accès aux données alors qu'ils n'ont besoin que de types précis de données créent un enjeu de conformité à la Loi 25.
Transferts transfrontaliers de données
La Loi 25 a des exigences précises pour les renseignements personnels communiqués à l'extérieur du Québec. Avant que des renseignements personnels ne soient transférés à l'extérieur du Québec, l'entreprise doit réaliser une évaluation des facteurs relatifs à la vie privée qui inclut une analyse comparative de la loi sur la vie privée de la juridiction de destination. Presque toutes les grandes plateformes d'IA traitent les données sur des serveurs situés à l'extérieur du Québec — généralement aux États-Unis, qui n'ont pas de législation fédérale complète sur la vie privée équivalente à ce qu'exige le Québec.
Les sanctions en cas de non-conformité
Pour les infractions à ses dispositions, les entreprises s'exposent à des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé — pour les infractions moins graves. Pour les infractions plus graves, les sanctions peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.
Ces chiffres sont à l'échelle du RGPD. La Commission d'accès à l'information (CAI) du Québec est l'organisme de surveillance et a été active en matière d'application.
Les lacunes propres à l'IA que la plupart des entreprises ont en ce moment
Aucune ÉFVP pour l'adoption d'outils d'IA : L'enjeu le plus répandu. Les entreprises ont adopté des outils d'IA sans réaliser les évaluations requises.
Aucune documentation de transfert transfrontalier : Des renseignements personnels sur des résidents québécois circulent vers des outils d'IA basés aux États-Unis sans l'analyse comparative de la vie privée requise ni les mesures de protection contractuelles.
La politique de confidentialité n'a pas été mise à jour : La plupart des politiques ont été rédigées avant que les outils d'IA ne fassent partie des opérations commerciales et ne mentionnent pas du tout le traitement par l'IA.
Aucun responsable de la protection des renseignements personnels désigné : La Loi 25 oblige les entreprises à désigner une personne responsable de la protection des renseignements personnels et à publier son titre et ses coordonnées.
Aucun plan d'intervention en cas d'incident de confidentialité : La Loi 25 exige la notification des incidents de confidentialité à la CAI dans les 72 heures suivant la prise de connaissance d'un incident impliquant des renseignements personnels qui présente un risque de préjudice sérieux.
À quoi ressemble réellement la conformité
Premièrement, désignez votre responsable de la protection des renseignements personnels et publiez ses coordonnées.
Deuxièmement, mettez à jour votre politique de confidentialité pour refléter comment vous recueillez et utilisez réellement les renseignements personnels, y compris l'utilisation des outils d'IA.
Troisièmement, réalisez des ÉFVP pour tous les outils d'IA déjà utilisés qui traitent des renseignements personnels québécois — des ÉFVP rétroactives valent mieux qu'aucune ÉFVP.
Quatrièmement, mettez en place un accès aux données selon le minimum nécessaire pour les outils d'IA.
Cinquièmement, mettez en place des ententes de traitement des données avec les fournisseurs d'outils d'IA.
Pour les entreprises qui veulent continuer à utiliser des outils d'IA basés aux États-Unis avec des renseignements personnels québécois, la voie la plus pratique vers la conformité est l'anonymisation avant que les données ne quittent vos systèmes. Si les données qui atteignent l'outil d'IA ne contiennent pas de renseignements personnels, les exigences de transfert transfrontalier de la Loi 25 ne s'appliquent pas de la même façon.
La tendance plus large que cela représente
La Loi 25 est le signal le plus clair à ce jour que le paysage de la vie privée au Canada évolue vers le modèle européen : des droits individuels plus forts, des sanctions plus élevées, des exigences plus normatives et une application active. Le Québec a ouvert la voie, mais la législation fédérale suit.
Les entreprises qui traitent la conformité en matière de vie privée comme une fonction stratégique — en l'intégrant dans leur façon d'adopter la technologie, plutôt que de l'ajouter après coup — seront mieux positionnées à mesure que ce paysage évolue.
La conformité IA et vie privée, simplifiée.
Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.
Découvrir Valdra