PME & Entreprises

Conformité · 2026-07-06

Loi 25 et IA : checklist en 10 points pour ton équipe

Déployer un outil d'IA dans ton entreprise, c'est faire entrer des renseignements personnels dans un nouveau système. La Loi 25 encadre exactement ce scénario. Voici les 10 vérifications à faire avant le déploiement, chacune adossée à la disposition qui l'exige, avec le livrable concret que ton équipe doit produire.

Précision utile : la Loi 25 est le nom courant de la loi qui a modernisé la Loi sur la protection des renseignements personnels dans le secteur privé. Les articles cités ci-dessous renvoient à cette loi telle que modifiée. Elle s'applique à toute entreprise qui traite des renseignements personnels au Québec, peu importe sa taille : une PME de 5 personnes est visée autant qu'une multinationale.

Ce qui est en jeu

La Commission d'accès à l'information (CAI) peut imposer des sanctions administratives pécuniaires jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé.

Au pénal, les amendes peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial. La conformité n'est pas un projet cosmétique : c'est de la gestion de risque.

La checklist

Passe chaque point avec la personne responsable avant d'ouvrir l'outil à l'équipe. Si un point bloque, c'est lui ton chantier prioritaire.

1. Nomme et publie ton responsable de la protection des renseignements personnels

Art. 3.1

Ce que la loi exige. Par défaut, la personne ayant la plus haute autorité dans l'entreprise est responsable de la protection des renseignements personnels. Elle peut déléguer ce rôle par écrit. Le titre et les coordonnées du responsable doivent être publiés, notamment sur ton site web.

Livrable. Une délégation écrite si le rôle n'est pas assumé par la direction, et une page ou une section de site avec le titre et le courriel du responsable. C'est cette personne qui signe les 9 points suivants.

2. Fais une EFVP avant d'acquérir l'outil

Art. 3.3

Ce que la loi exige. Une évaluation des facteurs relatifs à la vie privée (EFVP) est obligatoire pour tout projet d'acquisition, de développement ou de refonte de système d'information impliquant des renseignements personnels. Abonner ton équipe à un outil d'IA, c'est une acquisition de système d'information.

Livrable. Un document proportionné à la sensibilité des données : quelles catégories de renseignements entreront dans l'outil, pour quelles fins, quels risques, quelles mesures d'atténuation. Pas de format imposé; quelques pages rigoureuses suffisent pour une PME.

3. Vérifie où vont les données : transferts hors Québec

Art. 17

Ce que la loi exige. Avant de communiquer des renseignements personnels hors du Québec, tu dois évaluer si l'État de destination offre une protection adéquate, en tenant compte de la sensibilité des données et du régime juridique applicable. La communication doit faire l'objet d'une entente écrite. Un outil IA dont les serveurs sont aux États-Unis, c'est un transfert hors Québec à chaque prompt contenant un renseignement personnel.

Livrable. La localisation exacte des serveurs de ton fournisseur, documentée dans l'EFVP, et l'entente écrite couvrant le transfert s'il y en a un. Un hébergement au Canada simplifie radicalement ce point.

4. Revois le consentement pour les nouvelles finalités

Art. 14

Ce que la loi exige. Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques, demandé en termes simples et clairs. Si tes clients ont consenti à ce que leurs données servent à la facturation, ce consentement ne couvre pas leur analyse par un outil d'IA : nouvelle finalité, nouveau consentement.

Livrable. Une revue de tes formulaires et politiques de confidentialité : est-ce que l'usage IA prévu entre dans les finalités déjà consenties? Sinon, mise à jour du consentement avant le déploiement, pas après.

5. Encadre les décisions automatisées

Art. 12.1

Ce que la loi exige. Si une décision fondée exclusivement sur un traitement automatisé est prise au sujet d'une personne (tri de candidatures, approbation de crédit, tarification), tu dois l'en informer, et à sa demande lui communiquer les renseignements utilisés, les principaux facteurs de la décision et son droit de la faire rectifier. La personne doit pouvoir présenter ses observations à un humain.

Livrable. Une règle interne simple : aucune décision affectant un client ou un employé ne sort de l'IA sans validation humaine documentée. Si tu automatises complètement, prépare le mécanisme d'information et de révision avant la première décision.

6. Prépare ton registre et ton plan d'incident

Art. 3.5 à 3.8

Ce que la loi exige. Tout incident de confidentialité (accès, utilisation ou communication non autorisés, ou perte de renseignements personnels) doit être inscrit dans un registre. S'il présente un risque de préjudice sérieux, tu dois aviser la CAI et les personnes concernées, et prendre des mesures pour réduire les risques.

Livrable. Un registre d'incidents (un tableau tenu à jour suffit) et une procédure d'une page : qui constate, qui évalue le préjudice, qui avise la CAI. Un employé qui colle un dossier client complet dans un chatbot public, c'est potentiellement un incident.

7. Fixe la rétention et la destruction des conversations

Art. 23

Ce que la loi exige. Lorsque les fins pour lesquelles un renseignement personnel a été recueilli sont accomplies, tu dois le détruire ou l'anonymiser, sous réserve des délais de conservation prévus par d'autres lois. Les historiques de conversation IA contenant des renseignements personnels sont visés comme n'importe quel autre dossier.

Livrable. Une durée de rétention décidée et écrite pour les conversations IA, et la vérification que ton fournisseur permet réellement la suppression (pas juste le masquage) des historiques.

8. Journalise qui envoie quoi dans l'outil

Art. 3.2

Ce que la loi exige. Tes politiques et pratiques de gouvernance des renseignements personnels doivent encadrer leur cycle de vie complet et être publiées en termes simples. Concrètement, tu dois pouvoir répondre à la question : qui, dans l'équipe, a accès à l'outil IA, et quelles catégories de données y transitent?

Livrable. Des comptes nominatifs (pas de compte partagé), une liste d'accès tenue à jour, et si l'outil le permet, l'export des journaux d'activité. Sans traçabilité, impossible de documenter un incident au point 6.

9. Exige la clause « aucun entraînement » par écrit

Art. 18.3

Ce que la loi exige. Confier des renseignements personnels à un fournisseur de services exige un contrat écrit qui limite l'utilisation des données aux fins du mandat. Un fournisseur d'IA qui entraîne ses modèles sur tes conversations utilise tes données à ses propres fins : c'est exactement ce que le contrat doit interdire.

Livrable. La clause écrite, dans le contrat ou les conditions d'entreprise du fournisseur, confirmant que tes données ne servent pas à l'entraînement des modèles. Si le fournisseur ne peut pas la fournir, choisis-en un autre.

10. Prévois ton plan de sortie avant d'entrer

Art. 18.3

Ce que la loi exige. Le contrat avec ton fournisseur doit prévoir le sort des renseignements personnels à la fin du mandat, incluant leur destruction. Si tu quittes l'outil dans deux ans, tes données doivent pouvoir sortir avec toi, puis disparaître chez lui.

Livrable. Trois réponses écrites du fournisseur : comment j'exporte mes données (format exploitable), dans quel délai elles sont supprimées après résiliation, et quelle confirmation de suppression je reçois.

La checklist en un coup d'œil

Point Disposition Livrable
1. Responsable PRPArt. 3.1Délégation écrite + coordonnées publiées
2. EFVPArt. 3.3Évaluation documentée avant acquisition
3. Transferts hors QuébecArt. 17Localisation des serveurs + entente écrite
4. ConsentementArt. 14Revue des finalités consenties
5. Décisions automatiséesArt. 12.1Validation humaine documentée
6. IncidentsArt. 3.5 à 3.8Registre + procédure d'avis à la CAI
7. RétentionArt. 23Durée écrite + suppression vérifiée
8. JournalisationArt. 3.2Comptes nominatifs + liste d'accès
9. Aucun entraînementArt. 18.3Clause écrite du fournisseur
10. Plan de sortieArt. 18.3Export, délai et preuve de suppression

Ce qu'il faut retenir

« En cas de pépin, la CAI ne te demandera pas si tu utilisais l'IA. Elle te demandera ton EFVP, ton registre et ton contrat. »

Passer à l'action en entreprise

Le choix du fournisseur règle d'avance la moitié de cette checklist. Kébek héberge les comptes et les historiques au Canada, ce qui neutralise le point 3, et regroupe les modèles premium et libres derrière une seule entente fournisseur à documenter dans ton EFVP. Pour aller plus loin, le guide Loi 25 et IA détaille chaque obligation.

Prêt à tester? Demander une démo ou essayer Kébek pour ton équipe.

Commencer avec Kébek

FAQ

Ma PME de 5 employés est-elle vraiment visée?

Oui. La loi ne prévoit aucun seuil de taille : dès que tu recueilles des renseignements personnels (clients, employés, fournisseurs), les obligations s'appliquent. L'effort attendu est proportionné, pas l'obligation.

L'EFVP doit-elle suivre un formulaire officiel?

Non, aucun format n'est imposé. La CAI publie des guides, mais un document interne rigoureux et proportionné à la sensibilité des données respecte l'exigence. L'important : qu'il existe avant l'acquisition, pas après.

Est-ce que cette checklist remplace un avis juridique?

Non. Elle te donne la structure et les bonnes questions, mais pour valider ta conformité Loi 25 ou Loi 96, consulte un professionnel qualifié.