Loi 25 et IA : ce que vous risquez quand vos données nourrissent une IA
Chaque fois qu'un employé colle un dossier client dans une IA, des renseignements personnels partent sur des serveurs ailleurs. La plupart des PME québécoises le font sans s'en rendre compte, et la Loi 25 s'applique pareil. Voici ce qu'elle exige vraiment, et comment faire de l'IA puissante sans s'exposer.
Le geste banal qui vous expose
Un employé colle le courriel d'un client dans ChatGPT pour répondre plus vite. Un autre dépose un CV dans un assistant pour le résumer. Une équipe branche le CRM à une IA pour trier les leads. À chaque fois, des renseignements personnels quittent l'entreprise vers des serveurs, souvent aux États-Unis.
Ce n'est pas rare, c'est devenu la norme. Plus de 80% des employés utilisent des outils d'IA non approuvés au travail. Près de 4 sur 10 y ont déjà collé des données confidentielles. Et 1 organisation sur 5 a déjà vécu une fuite causée par cette IA fantôme, avec un coût additionnel moyen de 670 000$.
Le risque est invisible. Pas d'alarme, pas de bris apparent. Jusqu'au jour où quelqu'un pose la question.
Trois fuites en moins de 20 jours
En 2023, Samsung autorise ChatGPT dans sa division semi-conducteurs. En moins de 20 jours, trois fuites. Un ingénieur colle du code source confidentiel pour régler un bug. Un autre fait transcrire une réunion interne et la dépose dans l'outil pour un résumé. Un troisième y entre une séquence de test de puces.
Tout est parti sur des serveurs externes, impossible à reprendre. Samsung a banni les IA publiques sur ses appareils et a décidé de bâtir son propre système interne. Si ça arrive à Samsung, ça peut arriver à n'importe quelle entreprise qui n'a pas encadré l'usage.
La Loi 25 en clair
La Loi 25 modernise la protection des renseignements personnels au Québec. Adoptée en 2021, elle est entrée en vigueur en trois étapes, en septembre 2022, 2023 et 2024. Depuis le 22 septembre 2024, elle s'applique au complet, à toutes les entreprises, peu importe leur taille.
Un renseignement personnel, c'est toute information qui permet d'identifier quelqu'un. Un nom, un courriel, un numéro, un historique, un dossier. Dès qu'une IA lit, classe ou analyse ce genre de donnée, vous êtes responsable. En pratique, vous devez pouvoir répondre de quatre choses.
- Le consentement. Une donnée collectée pour une raison ne peut pas servir à autre chose, comme entraîner un modèle, sans accord clair.
- La sécurité. Des mesures raisonnables pour protéger la donnée sur tout son parcours, même quand c'est un outil tiers qui la traite.
- Un responsable. Une personne désignée dans l'entreprise pour la protection des renseignements personnels.
- L'effacement et la portabilité. Une personne peut demander que ses données soient supprimées, ou qu'on les lui remette dans un format lisible. Vous devez en être capable.
Aucune de ces obligations ne disparaît parce que c'est une IA qui travaille.
Quand l'IA décide à votre place
C'est l'angle que presque personne ne regarde. L'article 12.1 encadre les décisions prises uniquement par une machine. Une IA qui classe un candidat, qui priorise un dossier, qui fixe un prix ou qui refuse un client, ça tombe dedans.
Dans ce cas, trois obligations simples. Informer la personne que la décision est automatisée. Lui expliquer, si elle le demande, les principaux facteurs qui ont mené à la décision. Et lui permettre de faire réviser le tout par un humain.
La règle pratique tient en une phrase. Si votre IA décide et que personne ne peut expliquer pourquoi, vous êtes déjà hors-jeu.
Où dorment vos données
La plupart des outils d'IA grand public roulent sur de l'infrastructure américaine. Or la Loi 25 exige que tout transfert de renseignements personnels hors du Québec soit évalué d'avance, c'est l'ÉFVP, et encadré par un contrat qui garantit une protection équivalente.
Ce n'est pas une formalité. Les données hébergées aux États-Unis sont exposées à des lois comme le CLOUD Act et le FISA, qui peuvent ouvrir un accès aux autorités américaines. Envoyer des courriels clients vers un service d'inférence américain, sans évaluation et sans encadrement, c'est exactement ce que la loi vise.
Ce que ça coûte si ça tourne mal
La Loi 25 a des dents. Le régime de sanctions est parmi les plus sévères en Amérique du Nord.
- Sanctions administratives de la Commission d'accès à l'information, de 15 000$ jusqu'à 10 millions ou 2% du chiffre d'affaires mondial.
- Amendes pénales jusqu'à 25 millions ou 4% du chiffre d'affaires mondial, le plus élevé des deux.
- Recours privé. Une personne lésée peut réclamer des dommages, minimum 1 000$ par personne.
La première décision sous la nouvelle loi
La première décision de surveillance rendue depuis les grands changements de la Loi 25 visait une imprimerie qui utilisait la reconnaissance faciale pour contrôler l'accès de ses employés au bâtiment. La Commission a ordonné l'arrêt de la pratique.
Le message est clair. La Commission commence par une approche pédagogique, mais elle n'hésite pas à ordonner et à sanctionner quand c'est sérieux ou répété. Elle vise surtout les défaillances systémiques, donc une entreprise sans aucun cadre s'expose bien plus qu'une autre qui a fait ses devoirs.
Et le risque est répandu. Environ 64% des PME québécoises admettent ne pas être pleinement conformes, et seulement 36% des entreprises ont une vraie politique de gouvernance de l'IA.
La checklist pour faire de l'IA conforme
Le but n'est pas d'arrêter l'IA. Ce serait reculer pendant que vos concurrents avancent. Le but, c'est de la concevoir bien dès le départ, pas en réparation après une fuite. Voici les points qui font la différence.
- Hébergement au Canada. La base de données, la mémoire de l'agent et les journaux restent sur de l'infrastructure canadienne.
- Zéro rétention, zéro entraînement. Quand un appel à un grand modèle est nécessaire, il passe par une entente qui interdit de conserver vos données ou de s'entraîner dessus.
- Privilège minimal. L'IA lit et ajoute, elle ne supprime pas sur les systèmes critiques. Chaque accès est tracé.
- Un humain décide. Sur toute décision qui touche une personne, l'IA prépare, l'humain tranche.
- Une ÉFVP écrite. Avant tout transfert hors Québec, l'évaluation est faite et documentée.
- Conçu pour l'effacement. On range les données dans des bases qu'on peut purger, au lieu de les fondre dans un modèle.
- Un responsable et un registre. Une personne désignée, des choix documentés. C'est ce qui transforme un risque en dossier défendable.
Trois pièges fréquents
Croire que le contrat d'un outil américain règle tout
Cliquer "j'accepte" sur les conditions d'un SaaS américain ne vous rend pas conforme. La responsabilité du transfert, du consentement et de l'évaluation reste la vôtre. L'outil est un sous-traitant, pas un bouclier juridique.
Entraîner un modèle directement sur des données clients
Une fois qu'une donnée est fondue dans les poids d'un modèle, l'effacer pour une seule personne devient quasi impossible. Vous ne pouvez plus honorer une demande de suppression. La solution est de travailler par récupération sur des bases qu'on peut purger, pas par entraînement.
Déployer sans responsable ni gouvernance
Pas de personne désignée, pas de registre, pas d'évaluation. C'est exactement le genre de défaillance systémique que la Commission sanctionne le plus lourdement. La gouvernance n'est pas de la paperasse, c'est ce qui transforme un risque en dossier défendable.
La fenêtre pour les PME québécoises
La plupart des entreprises d'ici utilisent des outils génériques américains sans avoir évalué le risque. Ça veut dire deux choses. Beaucoup sont exposées sans le savoir. Et celles qui décident de bien faire prennent une longueur d'avance, parce que la conformité devient un argument, surtout quand vos propres clients vous confient leurs données.
Pour une PME de 5 à 200 employés au Québec, la vraie question pour 2026 n'est plus "est-ce qu'on utilise l'IA". C'est "où dorment nos données pendant qu'elle travaille, et serait-on capables de l'expliquer si on nous le demandait".
Vous voulez de l'IA qui performe sans vous exposer?
KRAZE conçoit et déploie des systèmes IA sur mesure pour les PME du Québec, pensés conformes dès le départ, hébergés au Canada, avec l'humain qui garde le volant. Si vous voulez voir où l'IA peut faire la différence chez vous sans risque, on peut en jaser.
Démarrer une discussion- Commission d'accès à l'information · principaux changements de la Loi 25
- Raymond Chabot Grant Thornton · Loi 25 et décisions automatisées
- Technologia · la Loi 25 à l'épreuve de l'intelligence artificielle
- Augure · guide de conformité Loi 25 et IA au Québec
- CDPDJ et OBVIA · droits de la personne en intelligence artificielle
- Loi 25 (Québec) · vue d'ensemble
- Barreau du Québec · calendrier d'entrée en vigueur de la Loi 25
- Cyber Security Hub · fuite de données Samsung via ChatGPT (2023)
- Shadow AI · statistiques d'usage non approuvé en entreprise
Ce texte est informatif et reflète notre lecture du cadre au moment de la rédaction. Il ne constitue pas un avis juridique. Pour une évaluation propre à votre situation, consultez un conseiller juridique qualifié.